VMware CVE-2022-22954 uzaktan kod yürütme güvenlik açığı için çevrimiçi olarak bir kavram kanıtı açığı yayınlandı ve bu güvenlik açığı, madeni para madencileri ile sunuculara bulaşan aktif saldırılarda zaten kullanılıyor.
Güvenlik açığı, yaygın olarak kullanılan iki yazılım ürünü olan VMware Workspace ONE Access ve VMware Identity Manager’ı etkileyen kritik bir uzaktan kod yürütme (RCE) (CVSS: 9.8).
Yazılım satıcısı, 6 Nisan 2022’de güvenlik açığı için bir güvenlik danışma belgesi yayınladı ve ağ erişimine sahip bir tehdit aktörünün RCE ile sonuçlanan bir sunucu tarafı şablon enjeksiyonunu tetikleme olasılığı hakkında uyarıda bulundu.
VMware’in sahip olduğu yayınlanan güvenlik güncellemeleri Etkilenen ürünler için ve yöneticilerin hemen güncelleyemediği dağıtım riskinin ele alınmasına yardımcı olacak geçici çözüm talimatları.
Aynı zamanda, belirli bir güvenlik açığının ele alınmasının öneminin altını çizdi: “Bu kritik güvenlik açığı, VMSA-2021-0011’deki talimatlara göre derhal yamalanmalı veya hafifletilmelidir. Bu güvenlik açığının sonuçları ciddi.”
Saldırılarda aktif olarak yararlanılan güvenlik açığı
Bu hafta, çok sayıda güvenlik araştırmacısı, Twitter’da yayınlanan en az bir kavram kanıtı açıklığı ile CVE-2022-22954 için çalışan açıklar oluşturdu.
Açık açıkları serbest bırakmak, tehdit aktörlerinin saldırılarda bunlardan yararlanma risklerini artırırken, aynı zamanda test yoluyla sistemlerin güvenliğini sağlamaya yardımcı olur ve mevcut düzeltmelerin/yamaların doğrulayıcıları olarak hizmet eder.
Bugün, tehdit aktörleri siber güvenlik istihbarat firması ile aktif olarak savunmasız ana bilgisayarları tarıyor. Kötü Paketler BleepingComputer’a vahşi doğada güvenlik açığından yararlanma girişimlerini tespit ettiklerini söylüyor.
Yükte kullanılan IP adresi 106.246.224.219, yakın zamanda görüldü Linux Tsunami arka kapısını diğer saldırılarda bırakmak. Ancak, artık erişilebilir olmadığı için ‘bir’ yürütülebilir dosyanın ne olduğu belirsizdir.
Güvenlik araştırmacısı Daniel Kartı ayrıca Twitter’da paylaşıldı güvenlik açığının, genellikle tehdit aktörleri yeni bir güvenlik açığını hedeflediğinde gördüğümüz ilk saldırılar olan madeni para madenciliği yüklerini düşürmek için istismar edildiğini söyledi.
Bu tehdit aktörlerinden bazıları, sunucunun kontrolünü ele geçirdiklerinde güvenlik açığını kapatıyorlar.
Card, BleepingComputer’a fidye yazılımı çetelerinin yakında ağlar içinde yanal olarak yayılmak için istismarı kullanmaya başlayacağını göreceğimizi söyledi.
Aktif kullanımı nedeniyle, VMware güvenlik güncellemelerini veya azaltmalarını henüz uygulamadıysanız, bunu mümkün olan en kısa sürede yapmanız son derece acildir.
VMware ürünlerinin kullanıcıları için şunu belirtmekte fayda var: satıcı danışmanlığı Workspace One Access ve Identity Manager’ın yanı sıra ek ürünleri etkileyen, yukarıda bahsedilen RCE’nin dışında birkaç yüksek önem derecesine sahip kusuru listeler; bu nedenle, mevcut en son sürümü kullandığınızdan emin olun.