梭鱼研究人员分析了梭鱼系统在4月至5月期间检测到的攻击和有效负载,发现有源源不断的尝试利用最近发现的两个VMware漏洞:CVE-2022-22954和CVE-2022-22960。
以下是其中一个漏洞(CVE-2022-22954)、最近的攻击模式以及您可以用来帮助防御这些类型的攻击的解决方案。
突出的威胁
新的VMware漏洞--4月6日,VMware发布了一份安全公告,其中列出了多个安全漏洞。此建议中最严重的漏洞之一是服务器端模板注入问题CVE-2022-22954。此漏洞使得有权访问Web界面的未经身份验证的用户能够以VMware用户的身份执行任意外壳命令。漏洞列表还包含CVE-2022-22960,这是受影响产品中的本地权限提升漏洞,可能会被攻击者链接。
VMware证实,已经在野外利用这些漏洞进行了攻击。CVE-2022-22954的CVSS得分为9.8,CVE-2022-22960的CVSS得分为7.8。
在发布建议和在GitHub上首次发布概念证明后不久,梭鱼研究人员开始发现针对该漏洞的探测和攻击尝试。随着时间的推移,这些攻击一直是一致的,除了几个峰值之外,其中绝大多数是被归类为探测而不是实际的利用企图。
从地理上看,绝大多数攻击来自美国,其中大部分来自数据中心和云提供商。
虽然峰值主要来自这些IP范围,但也有来自俄罗斯已知不良IP的持续后台尝试。其中一些IP定期扫描特定漏洞,看起来VMware漏洞已被添加到他们通常轮流使用的Laravel/Drupal/PHP探测列表中。
详细内容
看到的最常见的有效负载是试图注入“cat/etc/password”
其解码结果为:
Sherlock Security在giHub上发布的该漏洞的概念证明是下一个最受欢迎的探测。此字符串是在尝试检查可利用性的各种探测器中发现的:
https://github.com/sherlocksecurity/VMware-CVE-2022-22954/blob/main/CVE-2022-22954.yaml
使用此脚本的一些有效负载字符串包括:
(这是从概念验证脚本开始的默认设置。)
还有一些尝试使用Base64编码版本的探测器:
它被解码为:
在其他探测中,也有许多探测与回调一起发生。例如:
就实际的攻击尝试而言,攻击主要来自僵尸网络运营商。
https://www.barracuda.com/glossary/botnet
其中一个有效载荷是这样的:
其解码结果为:
本例中看到的有效负载当前处于脱机状态;但是,该IP目前似乎仍在托管Mirai DDoS僵尸网络恶意软件的变体。
https://www.barracuda.com/glossary/ddos
数据中还显示了一些Log4Shell攻击企图:
我们还在数据中看到EnemyBot尝试的水平很低:
虽然此特定示例很快就脱机了,但此攻击中使用的IP似乎相当多,如下面的GreyNoise条目所示:
如何防范这些类型的攻击
如前所述,人们对这些漏洞的兴趣水平已经稳定下来。不过,我们可能会看到低级扫描,并试图在一段时间内利用它们。即使扫描和利用保持稳定,采取措施保护您的系统也很重要。
打补丁:现在是打补丁的理想时机,特别是如果系统以任何方式面向互联网的话。
Web应用程序防火墙:在此类系统前面放置Web应用程序防火墙将增加对零日攻击和其他漏洞(包括Log4Shell)的纵深防御。
https://www.barracuda.com/waf-as-a-service?utm_source=50889&utm_medium=blog&utm_campaign=blog
https://blog.barracuda.com/2022/03/02/threat-spotlight-attacks-on-log4shell-vulnerabilities/
原文:https://blog.barracuda.com/2022/05/17/threat-spotlight-attempts-to-exploit-new-vmware-vulnerabilities/
原文始发于微信公众号(xiaozhu佩奇学安全):VMware漏洞CVE-2022-22954和CVE-2022-22960野外利用
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论