Resumen: 


Un reconocido grupo de ciberatacantes iraní rastreado como APT35, ha comenzado a explotar una vulnerabilidad de severidad crítica en VMware Workspace ONE Access.

 

Rastreado como CVE-2022-22954, el fallo se trata de un problema de inyección de plantillas del lado del servidor, cuya explotación podría derivar en una ejecución remota de código.

 

Es preciso destacar que el problema fue abordado en una actualización de seguridad hace tan solo dos semanas, junto con otros dos fallos de ejecución remota de código (CVE-2022-22957 y CVE-2022-22958) que afectan a VMware Identity Manager (vIDM), VMware vRealize Automation (vRA), VMware Cloud Foundation y vRealize Suite Lifecycle Manager.

 

Además, el fallo ha sido clasificado con una puntuación CVSS de 9.8, por lo que su explotación exitosa le permitiría a los atacantes obtener el máximo acceso privilegiado en los entornos comprometidos.

 

Ahora bien, los investigadores de la firma en ciberseguridad de Morphisec, han informado sobre la explotación activa de la vulnerabilidad por parte de los actores de la amenaza pertenecientes a un grupo iraní rastreado como APT35, también conocido como Rocket Kitten.

 

De acuerdo con los investigadores, los atacantes obtienen el acceso inicial aprovechando CVE-2022-22954, esto debido a que no requiere de ningún acceso administrativo al servidor objetivo, además de que su exploit ya está disponible públicamente.

 

Más adelante, los atacantes ejecutan un comando PowerShell en el servicio vulnerable, que se encargará de lanzar un stager cuyo objetivo será obtener el cargador PowerTrash del servidor de comando y control, así como cargar un agente Core Impact malicioso en la memoria del sistema.

 

A continuación, con el acceso privilegiado, los atacantes tendrán la capacidad de eludir las defensas comunes, incluyendo antivirus y la detección y respuesta de puntos finales (EDR).

 

Ahora bien, dada la explotación activa de la vulnerabilidad, se le recomienda a todos los administradores aplicar los parches correspondientes lo antes posible, esto con el objetivo de mitigar una posible ejecución remota de código.

 

Recomendaciones:

Se le insta a todos los administradores a aplicar los parches correspondientes y a mantener las mejores prácticas de ciberseguridad.

 

Referencias:

https://www.darkreading.com/attacks-breaches/-iranian-group-among-those-exploiting-recently-disclosed-rce-flaw-in-vmware

https://www.bleepingcomputer.com/news/security/hackers-exploit-critical-vmware-rce-flaw-to-install-backdoors/

 

 

Folio 202