แฮ็กเกอร์กำลังโจมตีช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (RCE) ระดับ Critical CVE-2022-22954 ซึ่งส่งผลกระทบกับ VMware Workspace ONE Access (เดิมเรียกว่า VMware Identity Manager)

ช่องโหว่ดังกล่าวได้ถูกแก้ไขไปแล้วจากการอัปเดตแพตซ์ด้านความปลอดภัยเมื่อ 20 วันก่อนพร้อมกับ RCE อีกสองรายการ CVE-2022-22957 และ CVE-2022-22958 ที่ส่งผลกระทบกับ VMware Identity Manager (vIDM), VMware vRealize Automation (vRA), VMware Cloud Foundation และ vRealize Suite Lifecycle Manage

ไม่นานหลังจากการเปิดเผยรายละเอียดของช่องโหว่ และมีโค้ด PoC ปล่อยออกมาสู่สาธารณะ ก็เริ่มพบการโจมตีตามมาทันที ซึ่งแฮ็กเกอร์จะมุ่งเป้าโจมตีไปยัง VMware ที่ยังไม่ได้ทำการอัพเดทแพตซ์ ซึ่งทาง VMware ก็ยืนยันว่า CVE-2022-22954 ถูกนำมาใช้ในการโจมตีแล้วจริงๆ

ปัจจุบันนักวิจัยจาก Morphisec ก็รายงานว่าพบการโจมตีช่องโหว่นี้จากกลุ่ม APT ที่ชื่อว่า APT35 หรืออีกชื่อหนึ่งคือ "Rocket Kitten"

รายละเอียดการโจมตี

เมื่อแฮ็กเกอร์โจมตีได้สำเร็จ จะเริ่มต้นด้วยการรันคำสั่ง PowerShell บน Identity Manager ที่มีช่องโหว่ จากนั้นก็จะทำการดาวน์โหลดตัว loader และโหลด Core Impact Agent จาก C2 Server ซึ่ง Core Impact Agent เป็น Pentest Tool ที่มีลักษณะคล้ายกันกับ Cobalt Strike ซึ่งถูกนำมาใช้ในการโจมตีของกลุ่มดังกล่าว

การโจมตีจาก APT35 (Morphisec)
Morphisec สามารถตรวจสอบหาที่อยู่ของ C2 Server และสามารถเชื่อมโยงเข้ากับบุคคลหนึ่งที่มีชื่อว่า Ivan Neculiti และบริษัทชื่อ Stark Industries ซึ่งทาง BleepingComputer พบความเชื่อมโยงของบริษัท 2-3 แห่งที่เกี่ยวข้องกับการฉ้อโกง แล้วพบว่ามีชื่อของ Neculiti เข้าไปเกี่ยวข้องด้วย รวมไปถึงบริษัทผู้ให้บริการ Hosting ที่ถูกกล่าวหาว่าให้การสนับสนุนเว็ปไซต์ที่ใช้ในการโจมตีดังกล่าว

ล่าสุด (26 เมษายน 12:04 PM) BleepingComputer ได้รับคำชี้แจงจากบริษัท P.Q. Hosting S.R.L สำนักงานใหญ่ในมอลโดวา และบริษัทแม่ของ Stark Industries ว่าบริษัทไม่มีส่วนเกี่ยวข้องกับการกระทำที่ผิดกฏหมายดังกล่าว

ที่มา : bleepingcomputer

สำนักงานความมั่นคงแห่งชาติ (National Security Agency - NSA) ได้ออกแจ้งเตือนถึงกลุ่มแฮกเกอร์ที่ได้รับการสนับสนุนจากรัฐบาลของรัสเซียกำลังใช้ประโยชน์จากช่องโหว่ CVE-2020-4006 ในผลิตภัณฑ์ VMware Workspace One ที่เพิ่งได้รับการแก้ไขช่องโหว่ในการขโมยข้อมูลที่มีความละเอียดอ่อนจากเป้าหมาย

ช่องโหว่ CVE-2020-4006 เป็นช่องโหว่ Command injection ช่องโหว่ถูกพบใน Administrative configurator ของ VMware Workspace ONE Access บางรุ่น, Access Connector, Identity Manager และ Identity Manager Connector โดยผู้โจมตีที่สามารถเข้าถึงระบบ Administrative configurator ในเครือข่ายด้วยพอร์ต 8443 และมีรหัสผ่านที่ถูกต้องของ VMware สามารถรันคำสั่งบนระบบปฏิบัติการด้วยสิทธิ์เต็มของผู้ดูแลระบบระบบปฏิบัติการได้ ซึ่งผลิตภัณฑ์ที่ได้รับผลกระทบจากช่องโหว่นี้ได้แก่

VMware Workspace One Access 20.10 (Linux)
VMware Workspace One Access 20.01 (Linux)
VMware Identity Manager 3.3.1 ถึง 3.3.3 (Linux)
VMware Identity Manager Connector 3.3.2, 3.3.1 (Linux)
VMware Identity Manager Connector 3.3.3, 3.3.2, 3.3.1 (Windows)
การตรวจจับการโจมตีเกิดจากที่ทาง NSA ได้สังเกตเห็นกลุ่มแฮกเกอร์ที่ได้ทำการเชื่อมต่อกับอินเทอร์เฟซ Administrative configurator ในผลิตภัณฑ์ที่มีช่องโหว่และทำการแทรกซึมเครือข่ายขององค์กรเพื่อติดตั้ง Web shell หลังจากนั้นกลุ่มแฮกเกอร์ได้ใช้ Web shell ทำการขโมยข้อมูลที่มีความละเอียดอ่อน โดยใช้ SAML credential เพื่อเข้าถึงเซิร์ฟเวอร์ Microsoft Active Directory Federation Services (ADFS) ภายในเครือข่าย

ทั้งนี้ผู้ดูแลระบบทำการอัปเดตแพตช์ความปลอดภัยเป็นการด่วน เพื่อเป็นการป้องกันผู้ประสงค์ร้ายทำการโจมตีระบบ ทั้งนี้ผู้ดูแลระบบสามารถเข้าไปดูรายละเอียดและดาวน์โหลดแพตช์เพิ่มเติมได้ที่: vmware

ที่มา: bleepingcomputer | securityaffairs