Ein mit dem Iran verbundener Bedrohungsakteur, bekannt als Rocket Kitten, wurde dabei beobachtet, wie er eine kürzlich gepatchte VMware-Schwachstelle aktiv ausnutzte, um sich Zugang zu verschaffen und das Penetrationstest-Tool Core Impact auf anfälligen Systemen einzusetzen.
Die kritische Schwachstelle mit der Bezeichnung CVE-2022-22954 (CVSS-Score: 9.8) betrifft eine Schwachstelle in VMware Workspace ONE Access and Identity Manager, die die Ausführung von Remotecode (RCE) ermöglicht.
Obwohl der Anbieter von Virtualisierungsdiensten die Schwachstelle am 6. April 2022 gepatcht hat, warnte das Unternehmen die Nutzerinnen und Nutzer vor einer bestätigten Ausnutzung der Schwachstelle, die eine Woche später in freier Wildbahn auftrat.
„Ein böswilliger Akteur, der diese RCE-Schwachstelle ausnutzt, erhält potenziell eine unbegrenzte Angriffsfläche“, so Forscher von Morphisec Labs in einem neuen Bericht. „Das bedeutet, dass er höchst privilegierten Zugang zu allen Komponenten der virtualisierten Host- und Gastumgebung erhält.
Die Angriffsketten, die die Schwachstelle ausnutzen, beinhalten die Verteilung eines PowerShell-basierten Stagers, der dann zum Herunterladen einer weiteren Nutzlast namens PowerTrash Loader verwendet wird, die wiederum das Penetrationstest-Tool Core Impact in den Speicher injiziert, um weitere Aktivitäten auszuführen.
„Der weit verbreitete Einsatz von VMWare Identity Access Management in Kombination mit dem ungehinderten Fernzugriff, den dieser Angriff ermöglicht, ist ein Rezept für verheerende Einbrüche in allen Branchen“, so die Forscher.
„VMWare-Kunden sollten auch ihre VMware-Architektur überprüfen, um sicherzustellen, dass die betroffenen Komponenten nicht versehentlich im Internet veröffentlicht werden, was das Risiko einer Ausnutzung drastisch erhöht.