VMware Workspace One Access-ek, aplikazioen banaketa eta kudeaketa sinplifikatu eta babesten dituen lan-eremu digitalak, larritasun kritikoko kalteberatasun bat du, eta modu aktiboan ustiatzen ari dira.

CVE-2022-22954 gisa katalogatutako errore horrek aukera ematen dio urruneko erasotzaile bati kode arbitrarioa exekutatzeko. Ikertzaileek ikusi dute errore hori berriro baliatzen ari direla programa gaiztoak inplementatzeko helburuarekin, bai eta RAR1Rasom tresna ere, arriskuan dauden sistemetan pasahitzez babestutako fitxategiak enkriptatzeko gai dena. Era berean, erasotzaileek kaltetutako gailuen baliabideak erabiltzen dituzte GuardMiner programaren bidez kriptodiru-meatzaritza egiteko.

Aurrekoaz gainera, ikusi da aipatutako errorea ustiatu dela zerbitzua ukatzeko eraso banatua (DDoS) egiteko, Mirai izenez ezagutzen den botnet-aren bidez.

Kalteberatasun hori joan den apirilaren 6an adabatu zen, eta une horretan argitaratutako exploit-ak aurkitu ziren, nabarmenena izanik APT35ek egindako jarduera gaiztoa, sistema kalteberetan atzeko ateak instalatzeko helburuarekin.

Lehen aipatu den bezala, VMware-k errorea zuzentzen duen adabaki ofiziala argitaratu zuen; beraz, kalteberatasun hori eta beste batzuk prebenitzeko, BCSCtik gomendatzen da sistema eta aplikazioak beti eguneratuta edukitzea azken bertsiora, dagozkien adabakiak argitaratu bezain laster.

Analisi teknikoa

Aipatutako kalteberatasunak VMware Workspace One Access-i eragiten dio, eta CVE-2022-22954 kodeaz identifikatua dago; urruneko erasotzaile bati aukera ematen dio helburuko sisteman kode arbitrarioa exekutatzeko. Hutsegitea sarrera-balidazio desegoki baten ondorioz gertatu da. Urruneko erasotzaile batek bereziki diseinatutako HTTP eskaera bat bidal dezake, eta zerbitzariaren aldeko txantiloi-injekzioa egin.

Errore hori ustiatzen dutela ikusitako kanpaina berrietan, etiologia gaizto desberdinak nabarmentzen dira, eta Cloudflare-tik fitxategi hauek deskargatzen dira hasierako bektore gisa:

• phpupdate.exe: GuardMiner.
• Config.json: GuardMiner-erako konfigurazio-fitxategia.
• networkmanager.exe: malwarea eskaneatzeko eta zabaltzeko exekutagarria .
• phpguard.exe: bere funtzioa GuardMiner-en funtzionamenduari eustea da.
• clean.bat: meatzaritzako beste programa batzuk ezabatzea.
• Cifrar.exe: RAR1Rasom tresna.

Lehenik eta behin, GuardMiner-en inplementazioa ikusten dugu, arriskuan dauden sistemaren baliabideak Moneroren meatzaritza egiteko aprobetxatzen dituen softwarea. Programa honek beste host batzuetara hedatzeko gaitasuna du, Apache Struts, Atlassian Confluence eta Spring Cloud Gateway-ko beste kalteberatasun batzuk aprobetxatzen baititu, besteak beste. Aurrekoaz gainera, programa hau troiar oso gisa kalifikatu da: PowerShell komandoak exekuta ditzake, eta sistemetan iraunkortasuna ezar dezake, programatutako zeregin berriak gehitzean.

RAR1Rasom erasoei dagokienez, adierazi behar da ransomware-tresna bat dela eta biktimaren gailuen fitxategiak konprimatzeko WinRAR erabiltzen duela, ondoren haiek blokeatuz, erabiltzaileek ezagutzen ez duten pasahitz baten bidez.

Oraingoz, jakin badakigu ransomware-kanpaina honen atzean dauden mehatxu-eragileak biktimei 2 XMRko ordainketa eskatzen ari direla (300 euro inguru), erabiltzaileei desenkriptatzailea emateko.

Azkenik, Mirai botnet-ari dagokionez, zerbitzua ukatzeko eraso banatuak egiten dira, indar handiko erasoez gain. Aipatutako azken eraso horiek kontu eta pasahitz kodetuen bidez abiarazten dira.

Hauek dira aurreko kalteberatasunak eragindako produktuak:

• VMWare Workspace One Access, 20.10.0.0 – 21.08.0.1 bertsioak.

Konponbidea

Ohikoa den bezala, kalteberatasun hori edo beste batzuk prebenitzeko, BCSCk gomendatzen du sistema eta aplikazioak erabilgarri dagoen azken bertsiora eguneratuta edukitzea beti, dagozkion adabakiak argitaratu bezain laster.

Garrantzitsua da neurriak berehala hartzea, inplementazioan arazo hori adabatzeko edo arintzeko. Horregatik, kalteberatasunaren larritasuna dela-eta, VMWare-k proposatutako konponbide ofiziala aplikatzea gomendatzen da, esteka honetan eskuragarri:

• HW-154129 – Patch instructions to address CVE-2022-22954, CVE-2022- 22955, CVE-2022-22956, CVE-2022-22957, CVE-2022-22958, CVE-2022- 22959, CVE-2022-22960, CVE-2022-22961 in Workspace ONE Access Appliance.

Era berean, fabrikatzaileak beste arintze bat eman die erabiltzaileei, eta honako urrats aipagarri hauek gomendatu ditu:

• Hasi saioa sshuser, sudo gisa root gisa sartzeko.
• Deskargatu eta transferitu HW-154129-applyWorkaround.py script-a sistemara, eta SCP protokoloa erabiltzea gomendatzen da.
• Deskargatutako fitxategiaren bide-izenera joan cd komandoaren bidez. ⋅ Python-en script-a exekutatu python3 HW-154129- applyWorkaround.py komandoa erabiliz.