Hackers Iraníes se aprovechan de un fallo de VMware para implementar una puerta trasera

Rocket Kitten, es un atacante que está relacionado con Irán, el cual, mediante una vulnerabilidad de VMware, parcheada hace poco, ha la ha estado usando usado para conseguir acceso a la herramienta de prueba de penetración “Core Impact” en sistemas vulnerables.

Conocido como CVE-2022-22954 (puntuación CVSS: 9.8), el error crítico se enfoca en una vulnerabilidad debido a la ejecución remota de código (RCE) afectando al “VMware Workspace ONE Acces” y al “Identity Manager”

Es cierto que este problema ha sido reparado el 6 de abril el 2022 por el proveedor, aun así, la compañía ha advertido a sus usuarios sobre la explotación confirmada una semana después.

“Aquel que explote esta vulnerabilidad de RCE obtiene potencialmente una superficie de ataque ilimitada", según los investigadores de Morphisec Labs en un nuevo informe. "Esto significa el acceso con el mayor privilegio a cualquier componente del entorno virtualizado de host e invitado".

Las cadenas de ataque que explotan la falla implican la distribución de un controlador de etapas basado en PowerShell, que luego se usa para descargar una carga útil de la siguiente etapa llamada “PowerTrash Loader” que, a su vez, inyecta la herramienta de prueba de penetración, Core Impact, en la memoria para actividades de seguimiento.

"El uso generalizado de la administración de acceso a la identidad de VMWare combinado con el acceso remoto sin restricciones que proporciona este ataque es una receta para brechas devastadoras en todas las industrias", dijeron los investigadores.

"Los clientes de VMware también deben revisar su arquitectura de VMware para asegurarse de que los componentes afectados no se publiquen accidentalmente en Internet, lo que aumenta drásticamente los riesgos de explotación".

PRECAUCIONES QUE TOMAR

• Disponer de alguna herramienta para gestionar y desplegar parches de seguridad en el SO , aplicaciones, endpoints y servidores.
• Escanear vulnerabilidades de forma periódica por lo menos una vez a la semana.
• Realizar como mínimo una auditoría anual para ver la exposición de la organización frente a ciberataques.
• Controlar los niveles de parcheo en los firewalls y cualquier dispositivo hardware.
• Comprobar si la plataforma de protección de endpoints permite gestionar y controlar los parches.
• Adquirir “Virtual Patching” en servidores y endpoints que permitan analizar y cerrar las sesiones que se intenten aprovechar de las vulnerabilidades.
• Mantener una inspección periódica de los sistemas de vigilancia mediante especialistas.