vmware vulnerabilities

Threat Spotlight: Versuche, neue VMware-Sicherheitslücken auszunutzen

Druckfreundlich, PDF & E-Mail

Das Forscherteam von Barracuda analysierte die von Barracuda-Systemen zwischen April und Mai entdeckten Angriffe und Payloads und stellte zahlreiche Versuche fest, zwei kürzlich entdeckte VMware-Schwachstellen auszunutzen: CVE-2022-22954 und CVE-2022-22960.

Im Folgenden werfen wir einen genaueren Blick auf eine dieser Schwachstellen (CVE-2022-22954), die jüngsten Angriffsmuster und auf Lösungen, die Sie zum Schutz vor solchen Angriffsarten einsetzen können.

Bedrohung im Fokus

Neue VMware-Schwachstellen – Am 6. April veröffentlichte VMware eine Sicherheitsempfehlung, in der mehrere Sicherheitslücken aufgeführt sind. Eine der schwerwiegendsten Schwachstellen in diesem Gutachten ist das Server-seitige Template-Injektion-Problem CVE-2022-22954. Diese Schwachstelle hat Auswirkungen darauf, dass ein nicht authentifizierter Benutzer mit Zugriff auf die Weboberfläche alle willkürlichen Shell-Befehle als VMware-Benutzer ausführen kann. Die Liste der Schwachstellen umfasste auch CVE-2022-22960, eine Sicherheitslücke bei der Erweiterung von lokalen Berechtigungen für die betroffenen Produkte, die möglicherweise von Angreifern ausgenutzt werden könnte.

VMware bestätigte, dass diese Sicherheitslücken in der Praxis bereits ausgenutzt wurden. CVE-2022-22954 hat einen CVSS-Score von 9,8 und CVE-2022-22960 hat einen CVSS-Score von 7,8.

Die Forscherteams von Barracuda sahen Probing- und Exploit-Versuche für diese Schwachstelle kurz nach der Veröffentlichung der Bedrohungshinweise und der ersten Veröffentlichung des Proof-of-Concept auf GitHub. Die Angriffe waren im Laufe der Zeit abgesehen von ein paar Spitzen konsistent, und die meisten davon würden als Probing (Sondierung) und nicht als tatsächliche Exploit-Versuche klassifiziert werden.

VMware-Sicherheitslücken

Die überwiegende Mehrheit der Angriffe kam geografisch aus den USA, wobei die meisten von ihnen aus Rechenzentren und Cloud-Anbietern kamen. Obwohl der Anstieg der Versuche größtenteils aus diesen IP-Bereichen stammt, gibt es auch konsistente Hintergrundversuche von bekannten bösartigen IPs in Russland. Einige dieser IPs führen in regelmäßigen Intervallen Scans nach bestimmten Schwachstellen durch, und anscheinend wurden die VMware-Schwachstellen zu ihrer üblichen rotierenden Liste von Laravel-/Drupal-/PHP-Probing hinzugefügt.

IP-Adresse von Angreifern

Die Details

Die am häufigsten beobachtete Payload war der Versuch, „cat/etc/Passwort“ zu injizieren

VMware-RCE-Schwachstellen

Dies kann folgendermaßen dekodiert werden:

VMware-RCE-Schwachstellen

Der von sherlocksecurity auf GitHub veröffentlichte Proof-of-Concept für die Sicherheitslücke war das zweitbeliebteste Ziel für das Probing. Dieser String wurde in verschiedenen Probing-Versuchen entdeckt, die versuchten, die Ausnutzbarkeit zu überprüfen:

VMware-Schwachstelle

Zu den Payload-Strings, die dieses Skript verwendeten, gehören:

VMware-Schwachstelle

(Das ist die Standardeinstellung, die mit dem Proof-of-Concept Skript beginnt.)

VMware-Schwachstelle

Es gab auch einige Versuche, 64-base-codierte Probing-Versionen zu verwenden:

VMware-Schwachstelle

Dies kann folgendermaßen dekodiert werden:

Schwachstelle

Neben anderen Sondierungen gab es auch viele Probingversuche mit Callbacks. Zum Beispiel:

VMware-Schwachstelle

In Bezug auf tatsächliche Exploit-Versuche stammten die Exploits hauptsächlich von Botnet-Betreibern.

Eine der beobachteten Payloads sah folgendermaßen aus:

vmwarevulnerability

Dies kann folgendermaßen dekodiert werden:

VMware-Schwachstelle

Die Payload, die bei diesem Beispiel beobachtet wurde, ist derzeit offline. Die IP scheint jedoch weiterhin Varianten der DDoS-Botnet-Malware von Mirai darauf zu hosten.

Schwachstellen

Es wurden auch einige Log4Shell-Exploit-Versuche in den Daten entdeckt:

VMware-Schwachstelle

Malware-URLs

Wir haben auch EnemyBot-Versuche niederer Ebene in den Daten gesehen:

 

Während dieses spezifische Beispiel ziemlich rasch offline ging, scheint die bei diesem Angriff verwendete IP relativ produktiv zu sein, wie dieser GreyNoise-Eintrag zeigt:

Greynoise

Wie Sie sich vor solchen Angriffen schützen können

Wie bereits erwähnt, hat sich das Interesse an diesen Sicherheitslücken stabilisiert. Wir werden jedoch wahrscheinlich einige Zeit lang Low-Level-Scans sowie Exploit-Versuche sehen. Auch wenn Scans und Exploits konstant bleiben, ist es wichtig, Maßnahmen zum Schutz Ihrer Systeme zu ergreifen.

  • Patching – Der ideale Zeitpunkt für das Patching ist jetzt, insbesondere wenn das System in irgendeiner Weise mit dem Internet verbunden ist.
  • Web Application Firewall – Positionieren Sie eine Web Application Firewall vor solche Systemen, um sich vor Zero-Day-Angriffen und anderen Sicherheitslücken wie Log4Shell zu schützen.

E-Book: Das neue ABC der Anwendungssicherheit

Nach oben scrollen
Twittern
Teilen
Teilen