Les pirates exploitent la faille critique de VMware RCE pour installer des portes dérobées

Hackers exploit critical VMware vulnerability to install backdoors

Les pirates informatiques avancés exploitent activement une vulnérabilité critique d’exécution de code à distance (RCE), CVE-2022-22954, qui affecte VMware Workspace ONE Access (anciennement appelé VMware Identity Manager).

Le problème a été résolu dans une mise à jour de sécurité il y a 20 jours avec deux autres RCE – CVE-2022-22957 et CVE-2022-22958 qui affectent également VMware Identity Manager (vIDM), VMware vRealize Automation (vRA), VMware Cloud Foundation et Gestionnaire de cycle de vie vRealize Suite.

Peu de temps après la divulgation publique des failles, un code d’exploitation de preuve de concept (PoC) est apparu dans l’espace public, permettant aux pirates de cibler les déploiements de produits VMware vulnérables. VMware a confirmé l’exploitation de CVE-2022-22954 dans la nature.

Aujourd’hui, des chercheurs de Morphisec signalent avoir été exploités par des acteurs de la menace persistante avancée (APT), en particulier un groupe de piratage iranien suivi sous le nom d’APT35, alias « Rocket Kitten ».

Détails de l’attaque

Les adversaires obtiennent un accès initial à l’environnement en exploitant CVE-2022-22954, le seul du trio RCE qui ne nécessite pas d’accès administratif au serveur cible et dispose également d’un exploit PoC accessible au public.

L’attaque commence par l’exécution d’une commande PowerShell sur le service vulnérable (Identity Manager), qui lance un stager.

Le stager récupère ensuite le chargeur PowerTrash du serveur de commande et de contrôle (C2) sous une forme très obscurcie et charge un agent Core Impact dans la mémoire système.

Le flux d'attaque APT35
Le flux d’attaque APT35 (Morphisec)

Core Impact est un outil de test d’intrusion légitime qui est utilisé à des fins malveillantes dans ce cas, de la même manière que Cobalt Strike est déployé dans des campagnes malveillantes.

Ce n’est pas un élément nouveau, cependant. Trend Micro a signalé des abus de Core Impact dans le passé par APT35, l’activité remontant à 2015.

« Les recherches de Morphisec ont observé des attaquants exploitant déjà cette vulnérabilité (CVE-2022-22954) pour lancer des portes dérobées HTTPS inversées, principalement des balises Cobalt Strike, Metasploit ou Core Impact » – Morphisec

Le directeur technique de Morphisec, Michael Gorelik, a déclaré à EZpublish-france.fr que l’attaquant avait tenté un mouvement latéral sur le réseau, bien que la porte dérobée ait été arrêtée.

« Avec un accès privilégié, ces types d’attaques peuvent être en mesure de contourner les défenses typiques, y compris l’antivirus (AV) et la détection et la réponse des terminaux (EDR) », ajoute Morphisec dans le rapport.

Liens vers l’hébergeur

Morphisec a pu récupérer l’adresse C2 du serveur intermédiaire, la version du client Core Impact et la clé de cryptage 256 bits utilisée pour la communication C2, et a finalement lié l’opération à une personne spécifique nommée Ivan Neculiti.

Il y a une entrée sur le ‘Colporteurs‘ base de données d’exposition à la fraude sous ce nom, répertoriant les personnes morales enregistrées en Moldavie, en Russie et au Royaume-Uni, y compris une société d’hébergement qui, selon la base de données, prend en charge toutes sortes de sites Web illégaux ainsi que des campagnes de spam et de phishing.

Il n’est pas clair si Neculiti ou les sociétés associées ont été de quelque manière que ce soit, sciemment ou non, impliquées dans des campagnes cybercriminelles.

EZpublish-france.fr a contacté les deux sociétés d’hébergement pour un commentaire sur les allégations faites dans le rapport de Morphisec, et nous mettrons à jour ce message si nous obtenons une réponse.