Злоумышленники активно используют уязвимость в VMware для развертывания вредоносов

По словам Кары Лин, исследовательницы из Fortinet FortiGuard Labs, исправленная уязвимость в VMware Workspace ONE Access активно используется хакерами для развертывания криптомайнеров и вымогательского ПО на пораженных устройствах. Речь идет о CVE-2022-22954 (имеет оценку 9.8 из 10 по шкале CVSS), которая позволяет злоумышленникам провести атаку типа инъекция шаблона на стороне сервера и выполнить произвольный код на пораженном устройстве. И хотя эта брешь в защите была устранена еще в апреле 2022 года, исследователи Fortinet заявили, что в августе им удалось зафиксировать атаки, в ходе которых уязвимость была использована для развертывания ботнета Mirai на Linux-системах, а также RAR1Ransom и GuardMiner, варианта криптомайнера XMRig.

Согласно отчету специалистов, атака проходит по следующему сценарию:

• Образец Mirai извлекается с удаленного сервера и используется для запуска DoS и брутфорс-атак на различные IoT-устройства с использованием стандартных учетных данных;

• Заражение RAR1Ransom и GuardMiner осуществляется с помощью PowerShell или shell-скрипта в зависимости от операционной системы жертвы. RAR1ransom также примечателен тем, что использует WinRAR для блокировки файлов в защищенных паролем архивах. А GuardMiner способен распространяться на другие узлы в сети, используя различные эксплойты для выполнения удаленного кода в Apache Struts, Atlassian Confluence и Spring Cloud Gateway.

По словам экспертов, отчет Fortinet является еще одним напоминанием о том, что злоумышленники продолжают активно использовать уже исправленные уязвимости для проникновения в непропатченные системы. Поэтому пользователям важно не забывать вовремя устанавливать необходимые обновления безопасности для защиты от подобных угроз.