2 sårbarheter med 9,8 allvarlighetsklasser utnyttjas.  En 3:a hägrar

2 sårbarheter med 9,8 allvarlighetsklasser utnyttjas. En 3:a hägrar

Getty bilder

Skadliga hackare, som vissa tros vara statsstödda, utnyttjar aktivt två orelaterade sårbarheter – båda med svårighetsgrad på 9,8 av 10 möjliga – i hopp om att infektera känsliga företagsnätverk med bakdörrar, botnätprogram och andra former av skadlig programvara.

De pågående attackerna riktar sig mot oparpade versioner av flera produktlinjer från VMware och av BIG-IP-programvara från F5, sa säkerhetsforskare. Båda sårbarheterna ger angripare möjligheten att på distans köra skadlig kod eller kommandon som körs med fria rotsystembehörigheter. De till stor del okoordinerade utnyttjandena verkar vara skadliga, i motsats till godartade skanningar som försöker identifiera sårbara servrar och kvantifiera deras antal.

Först ut: VMware

Den 6 april avslöjade och korrigerade VMware en sårbarhet för fjärrkörning av kod som spårades som CVE-2022-22954 och ett privilegieupptrappningsfel som spårades som CVE-2022-22960. Enligt en rådgivande publicerad på onsdagen av Cybersecurity and Infrastructure Security Agency, “skadliga cyberaktörer kunde omvända uppdateringar för att utveckla en exploit inom 48 timmar och började snabbt utnyttja de avslöjade sårbarheterna i oparpade enheter.”

CISA sa att aktörerna sannolikt var en del av ett avancerat ihållande hot, en term för sofistikerade och välfinansierade hackergrupper som vanligtvis backas upp av en nationalstat. När hackarna har äventyrat en enhet använder de sin root-åtkomst för att installera ett webbskal som kallas Dingo J-spy på nätverken hos minst tre organisationer.

“Enligt pålitlig tredjepartsrapportering kan hotaktörer kedja dessa sårbarheter. Vid en komprometterad organisation, på eller runt den 12 april 2022, utnyttjade en oautentiserad aktör med nätverksåtkomst till webbgränssnittet CVE-2022-22954 för att utföra ett godtyckligt skalkommando som en VMware-användare”, heter det i onsdagens råd. “Skådespelaren utnyttjade sedan CVE-2022-22960 för att eskalera användarens rättigheter till root. Med root-åtkomst kunde skådespelaren radera loggar, eskalera behörigheter och flytta i sidled till andra system.”

Den oberoende säkerhetsforskaren Troy Mursch sa i ett direktmeddelande att utnyttjandet som han har fångat i en honungskruka har inkluderat nyttolaster för botnät-mjukvara, webbskal och kryptominerare. CISA:s råd kom samma dag som VMware avslöjas och lappas två nya sårbarheter. En av sårbarheterna, CVE-2022-22972, har också en allvarlighetsgrad på – ni gissade rätt – 9,8. Den andra, CVE-2022-22973, har betyget 7,8.

Med tanke på de exploateringar som redan pågår för VMware-sårbarheterna fixade förra månaden, sa CISA att de “förväntar sig att skadliga cyberaktörer snabbt ska utveckla en förmåga att utnyttja nyligen släppta sårbarheter CVE-2022-22972 och CVE-2022-22973 i samma påverkade VMware-produkter.

BIG-IP också under eld

Samtidigt attackeras även företagsnätverk från hackare som utnyttjar CVE-2022-1388, en orelaterade sårbarhet med en allvarlighetsgrad på 9,8 som finns i BIG-IP, ett mjukvarupaket från F5. För nio dagar sedan avslöjade och korrigerade företaget sårbarheten, som hackare kan utnyttja för att utföra kommandon som körs med rotsystembehörighet. Omfattningen och omfattningen av sårbarheten föranledde förundran och chock i vissa säkerhetskretsar och gav den en hög svårighetsgrad.

Inom några dagar blev exploateringskoden allmänt tillgänglig och nästan omedelbart efter det, rapporterade forskareutnyttja försök. Det var då inte klart om blackhats eller whitehats utförde aktiviteten.

Under de senaste dagarna har forskare dock fångat tusentals skadliga förfrågningar som visar att en betydande del av utnyttjandet används för skändliga syften. I ett mejl skrev forskare från säkerhetsföretaget Greynoise:

Med tanke på att förfrågningarna som involverar detta utnyttjande kräver en POST-begäran och resulterar i ett oautentiserat kommandoskal på F5 Big-IP-enheten, har vi klassificerat aktörer som använder detta utnyttjande som skadliga. Vi har observerat aktörer som använder detta utnyttjande genom anonymitetstjänster som VPN eller TOR-utgångsnoder förutom kända VPS-leverantörer på internet.

Vi förväntar oss att aktörer som försöker hitta sårbara enheter använder icke-invasiva tekniker som inte involverar en POST-begäran eller resulterar i ett kommandoskal, som är katalogiserat i vår tagg för F5 Big-IP-sökrobotar: https://dvs.greynoise.io/tag/f5-big-ip-crawler. Den här sökrobottaggen upplevde en ökning av trafiken i samband med lanseringen av CVE-2022-1388.

Mursch sa att BIG-IP-exploaterna försöker installera samma trio av webbskal, skadlig programvara för att utföra distribuerade denial-of-service-attacker och kryptominerare som setts i attackerna på oparpade VMware-maskiner. Bilden nedan visar till exempel en attack som försöker installera allmänt erkänd DDoS malware.

Troy Mursch

Följande tre bilder visar hackare som utnyttjar sårbarheten för att köra kommandon som söker efter krypteringsnycklar och andra typer av känslig data som lagras på en intrång på en server.

Troy Mursch

Troy Mursch

Troy Mursch

Med tanke på hotet från ransomware och nationalstatshackningskampanjer som de som används mot kunder av SolarWinds och Microsoft, är den potentiella skadan från dessa sårbarheter betydande. Administratörer bör prioritera att undersöka dessa sårbarheter i sina nätverk och agera därefter. Råd och vägledning från CISA, VMware och F5 är här,
här, häroch här.

#sårbarheter #med #allvarlighetsklasser #utnyttjas #hägrar

Leave a Comment

Your email address will not be published.