Site Logo

Threat Spotlight: Versuche, neue VMware-Sicherheitslücken auszunutzen

Themen:
17. Mai. 2022
|
Tushar Richabadas

Das Forscherteam von Barracuda analysierte die von Barracuda-Systemen zwischen April und Mai entdeckten Angriffe und Payloads und stellte zahlreiche Versuche fest, zwei kürzlich entdeckte VMware-Schwachstellen auszunutzen: CVE-2022-22954 und CVE-2022-22960.

Im Folgenden werfen wir einen genaueren Blick auf eine dieser Schwachstellen (CVE-2022-22954), die jüngsten Angriffsmuster und auf Lösungen, die Sie zum Schutz vor solchen Angriffsarten einsetzen können.

Bedrohung im Fokus


Neue VMware-Schwachstellen – Am 6. April veröffentlichte VMware eine Sicherheitsempfehlung, in der mehrere Sicherheitslücken aufgeführt sind. Eine der schwerwiegendsten Schwachstellen in diesem Gutachten ist das Server-seitige Template-Injektion-Problem CVE-2022-22954. Diese Schwachstelle führt dazu, dass ein nicht authentifizierter Benutzer mit Zugriff auf die Weboberfläche alle willkürlichen Shell-Befehle als VMware-Benutzer ausführen kann. Die Liste der Schwachstellen umfasste auch CVE-2022-22960, eine Sicherheitslücke bei der Erweiterung von lokalen Berechtigungen für die betroffenen Produkte, die möglicherweise von Angreifern ausgenutzt werden könnte.

VMware bestätigte, dass diese Sicherheitslücken in der Praxis bereits ausgenutzt wurden. CVE-2022-22954 hat einen CVSS-Score von 9,8 und CVE-2022-22960 hat einen CVSS-Score von 7,8.

Die Forscherteams von Barracuda sahen Probing- und Exploit-Versuche für diese Schwachstelle kurz nach der Veröffentlichung der Bedrohungshinweise und der ersten Veröffentlichung des Proof-of-Concept auf GitHub. Die Angriffe waren im Laufe der Zeit abgesehen von ein paar Spitzen konsistent, und die meisten davon würden als Probing (Sondierung) und nicht als tatsächliche Exploit-Versuche klassifiziert werden.

VMware-Sicherheitslücken

Die überwiegende Mehrheit der Angriffe kam geografisch aus den USA, wobei die meisten von ihnen aus Rechenzentren und Cloud-Anbietern kamen. Obwohl der Anstieg der Versuche größtenteils aus diesen IP-Bereichen stammt, gibt es auch konsistente Hintergrundversuche von bekannten bösartigen IPs in Russland. Einige dieser IPs führen in regelmäßigen Intervallen Scans nach bestimmten Schwachstellen durch, und anscheinend wurden die VMware-Schwachstellen zu ihrer üblichen rotierenden Liste von Laravel-/Drupal-/PHP-Probing hinzugefügt.

IP-Adresse von Angreifern

Die Details


Die am häufigsten beobachtete Payload war der Versuch, „cat/etc/Passwort“ zu injizieren

VMware-RCE-Schwachstellen

Dies kann folgendermaßen dekodiert werden:

VMware-RCE-Schwachstellen

Der von sherlocksecurity auf GitHub veröffentlichte Proof-of-Concept für die Sicherheitslücke war das zweitbeliebteste Ziel für das Probing. Dieser String wurde in verschiedenen Probing-Versuchen entdeckt, die versuchten, die Ausnutzbarkeit zu überprüfen:

VMware-Schwachstelle

Zu den Payload-Strings, die dieses Skript verwendeten, gehören:

VMware-Schwachstelle

(Das ist die Standardeinstellung, die mit dem Proof-of-Concept Skript beginnt.)

VMware-Schwachstelle

Es gab auch einige Versuche, 64-base-codierte Probing-Versionen zu verwenden:

VMware-Schwachstelle

Dies kann folgendermaßen dekodiert werden:

Schwachstelle

Neben anderen Sondierungen gab es auch viele Probingversuche mit Callbacks. Zum Beispiel:

VMware-Schwachstelle

In Bezug auf tatsächliche Exploit-Versuche stammten die Exploits hauptsächlich von Botnet-Betreibern.

Eine der beobachteten Payloads sah folgendermaßen aus:

vmwarevulnerability

Dies kann folgendermaßen dekodiert werden:

VMware-Schwachstelle

Die Payload, die bei diesem Beispiel beobachtet wurde, ist derzeit offline. Die IP scheint jedoch weiterhin Varianten der DDoS-Botnet-Malware von Mirai darauf zu hosten.

Schwachstellen

Es wurden auch einige Log4Shell-Exploit-Versuche in den Daten entdeckt:

VMware-Schwachstelle

Malware-URLs

Es gab auch einige EnemyBot-Versuche in den Daten:

 

Während dieses spezifische Beispiel ziemlich rasch offline ging, scheint die bei diesem Angriff verwendete IP relativ produktiv zu sein, wie dieser GreyNoise-Eintrag zeigt:

Greynoise

Wie Sie sich vor solchen Angriffen schützen können


Wie bereits erwähnt, hat sich das Interesse an diesen Sicherheitslücken stabilisiert. Wir werden jedoch wahrscheinlich einige Zeit lang Low-Level-Scans sowie Exploit-Versuche sehen. Auch wenn Scans und Exploits konstant bleiben, ist es wichtig, Maßnahmen zum Schutz Ihrer Systeme zu ergreifen.

  • Patching – Der ideale Zeitpunkt für das Patching ist jetzt, insbesondere wenn das System in irgendeiner Weise mit dem Internet verbunden ist.

  • Web Application Firewall – Positionieren Sie eine Web Application Firewall vor solche Systemen, um sich vor Zero-Day-Angriffen und anderen Sicherheitslücken wie Log4Shell zu schützen.


E-Book: Das neue ABC der Anwendungssicherheit

Tushar Richabadas

Tushar Richabadas ist Senior Product Marketing Manager für Anwendungen und Cloud-Security bei Barracuda. Zuvor war Tushar Product Manager für die Barracuda Web Application Firewall und Barracuda Load Balancer ADC mit den Schwerpunkten Cloud und Automatisierung. Tushar hat als Leiter von Testteams für Netzwerkprodukte und im technischen Marketing für HCL-Cisco bereits viel Arbeitserfahrung gesammelt. Richabadas verfolgt die rasant zunehmenden Auswirkungen der digitalen Sicherheit sehr aufmerksam und setzt sich mit großer Begeisterung für die Vereinfachung der digitalen Sicherheit für alle ein.

Hier können Sie ihn auf LinkedIn kontaktieren.

Verwandte Beiträge:
E-Book: Das neue ABC der Anwendungssicherheit
E-Book: Das neue ABC der Anwendungssicherheit
 Verstehen der kommenden Trends in der Anwendungssicherheit und der neuen OWASP Top 10
Verstehen der kommenden Trends in der Anwendungssicherheit und der neuen OWASP Top 10
 Secured.21: Bedrohungstrends und die Zukunft der Anwendungssicherheit
Secured.21: Bedrohungstrends und die Zukunft der Anwendungssicherheit
 Q&A: Was ist neu bei Barracuda Cloud Application Protection
Q&A: Was ist neu bei Barracuda Cloud Application Protection