VMware đã phát hành các bản vá cho hai lỗi ảnh hưởng đến Workspace ONE Access, Identity Manager và vRealize Automation, có nguy cơ bị khai thác để vào các mạng doanh nghiệp.
Lỗ hổng đầu tiên là CVE-2022-22972 (điểm CVSS: 9.8), liên quan đến việc vượt qua xác thực, cho phép tin tặc có quyền truy cập mạng vào giao diện người dùng (UI) chiếm quyền quản trị mà không cần xác thực.
Lỗ hổng thứ hai, CVE-2022-22973 (điểm CVSS: 7.8), là một trường hợp leo thang đặc quyền cục bộ có thể cho phép kẻ tấn công có quyền truy cập cục bộ nâng cao đặc quyền thành người dùng “gốc” trên các thiết bị ảo dễ bị tấn công.
VMware cho biết: “Điều cực kỳ quan trọng là người dùng phải nhanh chóng thực hiện các bước để vá hoặc giảm thiểu vấn đề”.
Tiết lộ từ Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) cho biết, các nhóm APT cũng đang tiếp tục khai thác CVE-2022-22954 và CVE-2022-22960 – hai lỗi của VMware được vá vào đầu tháng trước.
Kẻ xấu có quyền truy cập mạng vào giao diện web đã sử dụng CVE-2022-22954 để thực thi một lệnh shell tùy ý với tư cách là người dùng VMware. Sau đó, chúng khai thác CVE-2022-22960 để leo thang lên quyền root. Với quyền truy cập root, kẻ xấu có thể xóa nhật ký, leo thang quyền và di chuyển ngang sang các hệ thống khác.
Trên hết, CISA lưu ý kẻ xấu đã triển khai các công cụ hậu khai thác như web shell Dingo J-spy ở ít nhất 3 tổ chức khác nhau.
Trong một báo cáo của Barracuda Networks, hãng cho biết đã quan sát thấy các nỗ lực thăm dò trong thực tế đối với CVE-2022-22954 và CVE-2022-22960 ngay sau khi lỗi được công khai vào ngày 6 tháng 4.
Hơn 3/4 số IP của kẻ tấn công, trong đó khoảng 76% từ Hoa Kỳ, Anh (6%), Nga (6%), Úc (5%), Ấn Độ (2%), Đan Mạch (1%) và Pháp (1%).
Một số đợt tấn công có liên quan đến mạng botnet, với việc lợi dụng các lỗ hổng để triển khai các biến thể của mã độc Mirai. CISA cũng đã ban hành chỉ thị khẩn cấp khuyến cáo các cơ quan thuộc nhánh hành pháp dân sự liên bang (FCEB) áp dụng các bản cập nhật hoặc ngắt kết nối mạng của các thiết bị.
Các bản vá lỗi được đưa ra sau hơn một tháng kể từ khi công ty tung ra bản cập nhật để giải quyết một lỗ hổng nghiêm trọng trong sản phẩm Cloud Director (CVE-2022-22966) có thể được dùng để khởi động các cuộc tấn công thực thi mã từ xa.
Không chỉ có VMware, CISA cũng đã đưa ra một lời khuyên tiếp theo liên quan đến việc khai thác tích cực CVE-2022-1388 (điểm CVSS: 9,8), một lỗ hổng thực thi mã từ xa được tiết lộ gần đây ảnh hưởng đến các thiết bị BIG-IP.
Qua thống kê nhanh trên thế giới có khoảng 700 dịch vụ đang “public” có nguy cơ bị tấn công. WhiteHat cũng cảnh báo người dùng cần cập nhật bản vá ngay lập tức, bởi đây là sản phẩm phổ biến được sử dụng ở các doanh nghiệp. Khai thác thành công, tin tặc có thể chiếm được quyền quản trị từ đó sẽ có quyền truy cập vào mạng nội bộ nhằm phát tán ransomware, đánh cắp thông tin hoặc tạo backdoor.
Theo The Hacker News