Хакеры научились использовать уже исправленную уязвимость в VMware Workspace ONE

Стало известно о том, что мошенники научились использовать ранее уже исправленную специалистами уязвимость, отслеживаемую как CVE-2022-22954, в VMware Workspace ONE Access, чтобы совершать новые атаки. В частности, хакеры могут через неё доставлять майнеры криптовалюты, а также стандартные программы-вымогатели.

Проблема вызывает внедрение шаблона, расположенного на стороне сервера из-за отсутствия очистки параметров «deviceUdid» и «devicetype». Хакер может активировать уязвимость для добавления на атакуемое устройство полезной нагрузки и удалённого выполнения кода в VMware Workspace ONE Access и Identity Manager.

Аналитики из Fortinet FortiGuard Labs наблюдали подобное в свободной среде, в первую очередь направленные на кражу конфиденциальных данных. В августе эксперты обнаружили несколько конкретных полезных нагрузок, используемых для развёртывания образцов Mirai, нацеленных на открытые сетевые устройства под управлением Linux. Вариант Mirai, участвовавший в атаках, применяли для удалённого запуска DoS-атак и атак методом перебора.

Другие полезные нагрузки использовались для доставки RAR1ransom или криптомайнера GuardMiner, который является вариантом xmrig. Вредоносные программы RAR1Ransom и GuardMiner распространялись за счёт применения PowerShell или сценария оболочки в зависимости от установленной на устройстве операционной системы.