بر اساس گزارشی که شرکت فورتینت (Fortinet) آن را منتشر کرده مهاجمان در حال بهرهجویی از آسیبپذیری CVE-2022-22954 برای انتشار باجافزار و یک بدافزار استخراجکننده رمز ارز هستند.
آسیبپذیری مذکور ضعفی از نوع اجرای کد بهصورت از راه دور (RCE) و با شدت 9.8 از 10 (بر طبق CVSSv3) است که دو محصول VMware Workspace ONE Access و VMware Identity Manager از آن متأثر میشوند.
در ۱۷ فروردین ۱۴۰۱، شرکت ویامور (VMware) با انتشار این توصیهنامه امنیتی اقدام به انتشار بهروزرسانی برای ترمیم این ضعف امنیتی کرد. کمتر از یک هفته بعد، نمونه اثباتگر (PoC) اکسپلویت CVE-2022-22954 بهصورت عمومی منتشر شد. از آن زمان تا کنون این آسیبپذیری “حیاتی” به کرات مورد بهرهجویی مهاجمان قرار گرفته است.
بر طبق گزارش فورتینت، در جریان کارزارهای اخیر مهاجمان با سوءاستفاده از آسیبپذیری CVE-2022-22954 اهداف زیر را در شبکه قربانیان دنبال میکنند:
- آلودهسازی ماشینهای با سیستم عامل Linux به بدافزار Mirai
- انتشار باجافزار RAR1ransom
- توزیع GuardMiner برای استخراج رمز ارز مونرو
اطمینان از بهروز بودن محصولات VMware Workspace ONE Access و VMware Identity Manager اصلیترین راهکار در مقابله با این تهدیدات مخرب است.
مشروح گزارش فورتینت و نشانههای آلودگی (IoC) کارزارهای اخیر در لینک زیر قابل دریافت و مطالعه است:
https://www.fortinet.com/blog/threat-research/multiple-malware-campaigns-target-vmware-vulnerability