28/04/22
Иранская киберпреступная группировка Rocket Kitten активно использует уязвимость удаленного выполнения кода в VMware с целью получить первоначальный доступ к системам и установить бэкдор Core Impact.
Критическая уязвимость CVE-2022-22954 получила оценку в 9,8 балла из максимальных 10 по шкале CVSS и затрагивает VMware Workspace ONE Access и Identity Manager.
Хотя проблема была исправлена поставщиком услуг виртуализации 6 апреля 2022 года, компания предупредила пользователей о подтвержденной эксплуатации уязвимости в реальных атаках.
По словам специалистов из компании Morphisec Labs, цепочки атак, использующие уязвимость, включают распространение стейджера на основе PowerShell, который затем используется для скачивания полезной нагрузки следующего этапа под названием PowerTrash Loader. PowerTrash Loader устанавливает инструмент Core Impact в память для последующих вредоносных действий.
Клиентам VMWare настоятельно рекомендуется проверить свою архитектуру VMware на предмет доступных в Сети уязвимых компонентов.
