利用VMware漏洞CVE-2022-22954的攻击活动

admin 2022年5月3日20:15:24评论131 views字数 3212阅读10分42秒阅读模式

4月 14 日至 15 日,研究人员发现利用已修复的 VMware Workspace ONEAccess(以前称为 VMware Identity Manager)远程代码执行 (RCE) 漏洞的攻击活动。由于存在复杂的Core Impact利用迹象,研究人员推测APT 组织是这些攻击事件的幕后黑手。攻击中使用的战术、技术和程序在伊朗的Rocket Kitten 等团伙中很常见。

VMWare是一个价值300亿美元的云计算和虚拟化平台,被全球 500000 家组织使用。利用此 RCE 漏洞,攻击者可以对虚拟环境的任何组件的最高权限的访问。受影响的公司面临安全漏洞、赎金、品牌损害和诉讼等方面的问题。

这个新的漏洞是一个影响Apache Tomcat 组件的服务器端模板注入,其可在主机服务器上执行恶意命令。作为攻击链的一部分,研究团队已经识别并阻止了作为合法Tomcat prunsrv.exe进程应用程序的子进程执行的PowerShell命令。具有网络访问权限的攻击者可以利用这一漏洞实现对VMware的身份访问管理的完全远程代码执行。Workspace ONE Access提供了多因素认证、有条件访问以及对SaaS、Web和本地移动应用的单点登录。

这次攻击非常迅速:

  • 4月6日发布了针对最初漏洞的补丁

  • 4月11日,出现了一个攻击的概念证明

  • 4月13日,在野外发现了漏洞利用

攻击者可以利用这一攻击来安装勒索软件或加密矿工,作为其初始访问、横向移动或权限提升的一部分。最新研究观察到攻击者已经利用这个漏洞来启动反向HTTPS后门,主要是Cobalt Strike、Metasploit或Core Impact。通过特权访问,这些类型的攻击能够绕过传统的防御措施,包括防病毒(AV)以及终端检测和响应(EDR)。

后文详细分析了这种新的攻击。

利用VMware漏洞CVE-2022-22954的攻击活动

攻击细节

 

技术分析

利用VMware漏洞CVE-2022-22954的攻击活动

完整的攻击链

攻击者通过利用 VMWare Identity Manager Service 漏洞获得对系统的初始访问权限。然后,攻击者安装一个 PowerShell stager 来下载下一阶段恶意软件 PowerTrashLoader。最后,高级渗透测试框架 Core Impact 被注入到内存中。

VMWARE 身份管理器的漏洞

研究团队之前揭露了攻击者如何利用 VMWare 的 Horizon Tomcat 服务的攻击。攻击者现在正在利用另一个 VMWare 组件,即 VMWare Identity Manager 服务。

最近,该服务的几个漏洞已被报告:

CVE-2022-22958

VMware Workspace ONE  Access、Identity  Manager 和 vRealize Automation 包含两个远程代码执行漏洞(CVE-2022-22957 和 CVE-2022-22958)。具有管理访问权限的恶意行为者可以通过恶意 JDBC URI 触发不受信任的数据的反序列化,这可能导致远程代码执行

CVE-2022-22957

VMware Workspace ONE  Access、Identity  Manager 和 vRealize Automation 包含两个远程代码执行漏洞(CVE-2022-22957 和 CVE-2022-22958)。具有管理访问权限的恶意行为者可以通过恶意 JDBC URI 触发不受信任的数据的反序列化,这可能导致远程代码执行

CVE-2022-22954

VMware Workspace ONE  Access and Identity Manager包含一个由于服务器端模板注入导致的远程代码执行漏洞。具有网络访问权限的恶意行为者可以触发服务器端模板注入,可能导致远程代码执行

虽然 CVE-2022-22957 和 CVE-2022-22958 是 RCE 漏洞,但它们需要对服务器的管理访问权限。然而,CVE-2022-22954则不需要,并且已经在野外有一个开源的概念证明。

POWERSHELL STAGER

攻击者利用该服务并运行以下 PowerShell 命令:

利用VMware漏洞CVE-2022-22954的攻击活动

以 base64 编码的 Stager

解码后为:

利用VMware漏洞CVE-2022-22954的攻击活动

解码的 Stager

正如在最后看到的,这是一个编码命令,其中每个字符都减1。这样就得到了下载下一阶段的 URL:

利用VMware漏洞CVE-2022-22954的攻击活动

解码 #2 stager

POWERTRASH LOADER

PowerTrashLoader 是一个高度混淆的 PowerShell 脚本,包含大约 40,000 行代码。

利用VMware漏洞CVE-2022-22954的攻击活动

 PowerTrash 加载程序的片段

这个loader解压缩payload,并将其加载到内存中,而不会在磁盘上留下取证证据。之前看到过 PowerTrash Loader 安装  JSSLoader。

这次,最终的payload不同,是Core Impact Agent。

CORE IMPACT AGENT

CoreImpact 是由Core Security 开发的渗透测试框架。与其它渗透测试框架一样,这些框架并不总是用于善意的活动。TrendMicro报告称,与 Rocket Kitten APT35 相关的Woolen-GoldFish 活动使用了 Core Impact 的修改版本。

研究人员可以提取位于嵌入字符串中的 C2 地址、客户端版本和通信加密密钥:

利用VMware漏洞CVE-2022-22954的攻击活动

C2服务器:185.117.90[.]187

客户端版本:7F F7 FF 83(十六进制)

256位密钥:cd19dbaa04ea4b61ace6f8cdfe72dc99a6f807bcda39ceab2fefd1771d44ad288b76bc20eaf9ee26c9a175bb055f0f2eb800ae6010ddd7b509e061651ab5e883d491244f8c04cbc645717043c74722bee317754ea1df13e446ca9b1728f1389785daecf915ce27f6806c7bfa2b5764e88e2957d2e9fcfd79597b3421ea4b5e6f(ASCII)

其它威胁关系

对 Stager 服务器进行反向查找会发现在伦敦注册的名为“StarkIndustries”的新网络托管服务器。

利用VMware漏洞CVE-2022-22954的攻击活动

Stager服务器IP反向查找结果

该公司于 2022 年 2 月注册,与一个名叫Ivan Neculiti的人有关联:

利用VMware漏洞CVE-2022-22954的攻击活动

suite.endole.co.uk 中的 Ivan Neculiti 身份

在hucksters.net上有他专门的个人资料页面,揭露了垃圾邮件发送者、欺诈者和其他不良行为者。

Ivan因拥有用于恶意和非法活动的网络托管公司而臭名昭著。其中包括 pq[.]hosting,与 stark-industries[.] 解决方案相关联。

利用VMware漏洞CVE-2022-22954的攻击活动

网络托管公司之间的相关性

 

IoC

Stage1服务网址:

hxxp://138.124.184[.]220/work_443.bin_m2.ps1

Stage2 -work_443.bin_m2.ps1

746FFC3BB7FBE4AD229AF1ED9B6E1DB314880C0F9CB55AEC5F56DA79BCE2F79B

Stage3 - CoreImpact:

 7BC14D231C92EEEB58197C9FCA5C8D029D7E5CF9FBFE257759F5C87DA38207D9

C2 服务器:

185.117.90[.]187

 

抵御此类攻击

VMWare身份访问管理的广泛使用与此类攻击不受限制的远程访问相结合,是跨行业破坏性漏洞的特点。任何使用 VMWare 身份访问管理的人都应该立即应用 VMWare 发布的补丁。无法立即应用补丁的组织应考虑虚拟补丁。VMWare 客户还应该审查他们的 VMware 架构,以确保受影响的组件不会意外发布到网络上,这会大大增加利用风险。


原文链接:

https://blog.morphisec.com/vmware-identity-manager-attack-backdoor



 



原文始发于微信公众号(维他命安全):利用VMware漏洞CVE-2022-22954的攻击活动

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年5月3日20:15:24
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   利用VMware漏洞CVE-2022-22954的攻击活动http://cn-sec.com/archives/962036.html

发表评论

匿名网友 填写信息