مجموعه VMware و کارشناسان از کاربران می‌خواهند چندین محصول را که تحت تأثیر یک آسیب‌پذیری حیاتی بای پس احراز هویت قرار گرفته‌اند پچ کنند، که می‌تواند به مهاجم اجازه دسترسی مدیریتی و ادمین به سیستم و همچنین سواستفاده از سایر نقص‌ها را بدهد.

به گفته محققان، این باگ که با نام CVE-۲۰۲۲-۳۱۶۵۶ پیگیری می‌شود، امتیاز 9.8 را در CVSS کسب کرد و یکی از معدود اصلاحاتی است که این شرکت در محصولات مختلف در بروزرسانی منتشر شده در روز سه‌شنبه برای نقص‌هایی که به راحتی می‌تواند به یک زنجیره سواستفاده تبدیل شود، انجام داده است.

باگ CVE-۲۰۲۲-۳۱۶۵۶ نیز مطمئناً خطرناک‌ترین عضو این آسیب‌پذیری‌ها است، و احتمالاً بیشتر خواهد شد زیرا محققی که آن را کشف کرده است (Petrus Viet از VNG Security) در توییتی قول داده است که یک سواستفاده proof-of-concept برای این باگ به زودی مطرح می‌شود.

به گفته محققان، این امر هم‌اکنون به نیاز سازمان‌های آسیب‌دیده از این نقص برای اصلاح فوریت می‌بخشد.

کلر تیلیس، مهندس تحقیقات ارشد تیم پاسخگویی امنیتی Tenable در‌ ایمیلی به Threatpost گفت: «با توجه به شیوع حملاتی که آسیب‌پذیری‌های VMware را هدف قرار می‌دهند و proof-of-concept آینده، سازمان‌ها باید پچ نمودن CVE-۲۰۲۲-۳۱۶۵۶ را در اولویت قرار دهند. به عنوان یک دور زدن احراز هویت، بهره‌برداری از این نقص این احتمال را ایجاد می‌کند که مهاجمان می‌توانند زنجیره‌های سواستفاده بسیار دردسرسازی را ایجاد کنند. »

پتانسیل برای زنجیره حمله
به طور خاص، CVE-۲۰۲۲-۳۱۶۵۶ یک آسیب‌پذیری بای پس احراز هویت است که VMware Workspace ONE Access، Identity Manager و vRealize Automation را تحت تأثیر قرار می‌دهد.

طبق پست وبلاگی که تیلیس منتشر کرد، این اشکال بر کاربران دامنه محلی تأثیر می‌گذارد و مستلزم آن است که یک مهاجم راه دور باید به یک رابط کاربری آسیب‌پذیر دسترسی داشته باشد. او گفت، هنگامی که مهاجم به این امر دست یابد، می‌تواند از این نقص برای دور زدن احراز هویت و دسترسی ادمین استفاده کند.

تیلیس مشاهده کرد، علاوه بر آن، این آسیب‌پذیری دروازه‌ای برای بهره‌برداری از سایر نقص‌های اجرای کد از راه دور (RCE) است که با انتشار این هفته VMWare ( CVE-۲۰۲۲-۳۱۶۵۸ و CVE-۲۰۲۲-۳۱۶۵۹ ) برای تشکیل یک زنجیره حمله مورد بررسی قرار گرفت.

باگ CVE-۲۰۲۲-۳۱۶۵۸ یک آسیب‌پذیری RCE تزریقی JDBC است که VMware Workspace ONE Access، Identity Manager و vRealize Automation را تحت تأثیر قرار می‌دهد که امتیاز «مهم» را در CVSS-8.0 کسب کرده است. این نقص به یک عامل مخرب با دسترسی ادمین و شبکه اجازه می‌دهد تا RCE را راه‌اندازی کند.

باگ CVE-۲۰۲۲-۳۱۶۵۹ یک آسیب‌پذیری RCE تزریق SQL است که VMware Workspace ONE Access and Identity Manager را تحت تأثیر قرار می‌دهد و همچنین امتیاز 8.0 را با مسیر حمله مشابه CVE-۲۰۲۲-۳۱۶۵۸ کسب کرده است.

شش اشکال دیگر پچ شده در این بروزرسانی شامل یک اشکال RCE دیگر (CVE-۲۰۲۲-۳۱۶۶۵) است که تحت عنوان مهم رتبه‌بندی شده است. دو آسیب‌پذیری افزایش اختیار (CVE-۲۰۲۲-۳۱۶۶۰ و CVE-۲۰۲۲-۳۱۶۶۱) به‌عنوان مهم رتبه‌بندی شدند. یک آسیب‌پذیری افزایش اختیار محلی (CVE-۲۰۲۲-۳۱۶۶۴) به‌عنوان مهم رتبه‌بندی شده است. یک آسیب‌پذیری تزریق URL (CVE-۲۰۲۲-۳۱۶۵۷) که به عنوان متوسط ​​رتبه‌بندی شده است. و یک آسیب‌پذیری پیمایش مسیر (CVE-۲۰۲۲-۳۱۶۶۲) به‌عنوان متوسط ​​رتبه‌بندی شده است.

پچ فوری، پچ همه چیز
مجموعه VMware با عجولانه عمل کردن در ارائه پچ‌ها برای اشکالات حیاتی موجود در محصولاتش غریبه نیست و به دلیل فراگیر بودن پلتفرم خود در شبکه‌های سازمانی، از مشکلات امنیتی خود رنج می‌برد.

به عنوان مثال، در اواخر ژوئن، سازمان‌های فدرال درباره حمله مهاجمان به سرور‌های VMware Horizon و Unified Access Gateway (UAG) برای سواستفاده از آسیب‌پذیری بدنام Log4Shell RCE (یک نقص با قابلیت بهره‌برداری آسان که در لایبرری Log4Jlate Apache در سال گذشته کشف شد)، هشدار دادند که از آن زمان به‌طور مستمر روی VMware و دیگر پلتفرم‌ها هدف قرار گرفته است.

در واقع، گاهی اوقات حتی پچ کردن هنوز برای VMware کافی نبوده است، زیرا مهاجمان پس از انجام اقدامات لازم برای رفع مشکل، نقص‌های موجود را هدف قرار می‌دهند.

این سناریو در دسامبر ۲۰۲۰ رخ داد، زمانی که فدرال‌رزرو‌ها هشدار دادند که دشمنان به طور فعال از یک باگ چند هفته‌ای در محصولات Workspace One Access و Identity Manager سه روز پس از اصلاح آسیب‌پذیری توسط فروشنده استفاده می‌کنند.

به گفته یک متخصص امنیتی، اگرچه همه نشانه‌ها به فوریت اصلاح آخرین تهدید برای پلتفرم VMware اشاره می‌کنند، به گفته یک متخصص امنیتی، به احتمال زیاد حتی اگر به توصیه‌ها توجه شود، این خطر در آینده به شکل قابل پیش‌بینی ادامه خواهد داشت.

گرگ فیتزجرالد، یکی از بنیانگذاران Sevco Security اشاره کرد که اگرچه شرکت‌ها در ابتدا تمایل دارند سریع‌ترین تهدیدات را برای شبکه خود برطرف کنند، اما اغلب جا‌هایی را که مهاجمان می‌توانند از یک نقص سواستفاده کنند را فراموش می‌کنند. او گفت که این همان چیزی است که منجر به حملات مداوم و پیوسته می‌شود.

«مهم‌ترین خطر برای شرکت‌ها سرعت اعمال پچ‌های حیاتی آن‌ها نیست. فیتزجرالد می‌گوید، این از اعمال نکردن پچ‌ها در هر زمینه ناشی می‌شود. واقعیت ساده این است که بیشتر سازمان‌ها در نگهداری موجودی دارایی‌های فناوری اطلاعات به‌روز و دقیق شکست می‌خورند، و دقیق‌ترین رویکرد برای مدیریت پچ نمی‌تواند تضمین کند که همه دارایی‌های سازمانی در نظر گرفته و حفظ می‌شوند.»

بیشتر بخوانید

یک عامل تهدید مرتبط با عملیات باج‌ افزار LockBit 3.0 از ابزار کامند لاین Windows Defender برای بارگذاری بیکون‌های Cobalt Strike در سیستم‌های آسیب‌دیده و فرار از شناسایی توسط نرم‌افزار امنیتی سواستفاده می‌کند.

بدافزار Cobalt Strike یک مجموعه تست نفوذ قانونی با ویژگی‌های گسترده است که در بین عوامل تهدید برای انجام شناسایی پنهان شبکه و حرکت جانبی قبل از سرقت داده‌ها و رمزگذاری آن‌ها، محبوب است.

با این حال، راه‌حل‌های امنیتی در تشخیص بیکون‌های Cobalt Strike بهتر شده‌اند و عاملان تهدید را وادار می‌کنند که به دنبال راه‌های نوآورانه برای استقرار toolkit خود باشند.

در یک مورد اخیر پاسخ حادثه برای یک حمله باج‌ افزار LockBit، محققان در Sentinel Labs متوجه سواستفاده از ابزار کامند لاین Microsoft Defender «MpCmdRun.exe» برای بارگذاری جانبی DLL‌های مخربی شدند که بیکون‌های Cobalt Strike را رمزگشایی و نصب می‌کنند.

به خطر انداختن اولیه شبکه در هر دو مورد با بهره‌برداری از یک نقص Log4j در سرور‌های آسیب‌پذیر VMWare Horizon برای اجرای کد PowerShell انجام شد.

بارگذاری جانبی بیکون‌های Cobalt Strike در سیستم‌های در معرض خطر برای LockBit چیز جدیدی نیست، زیرا گزارش‌هایی در مورد زنجیره‌های آلودگی مشابه با تکیه بر سواستفاده از ابزار‌های کامند لاین VMware وجود دارد.

سواستفاده از Microsoft Defender
پس از ایجاد دسترسی به یک سیستم هدف و به دست آوردن اختیارات کاربر مورد نیاز، عوامل تهدید از PowerShell برای بارگیری سه فایل استفاده می‌کنند:  یک کپی تمیز از یک ابزار Windows CL، یک فایل DLL و یک فایل LOG.

مشخصاً MpCmdRun. exe یک ابزار کامند لاین برای انجام وظایف Microsoft Defender است و از دستوراتی برای اسکن بدافزار، جمع‌آوری اطلاعات، بازیابی موارد مورد نیاز، انجام ردیابی تشخیصی و غیره پشتیبانی می‌کند.

وقتی که اجرا شد،  MpCmdRun.exe یک DLL قانونی به نام «mpclient.dll» را بارگیری می‌کند که برای عملکرد صحیح برنامه لازم است.

در موردی که توسط SentinelLabs تجزیه و تحلیل شده است، عوامل تهدید نسخه تسلیح شده خود از mpclient.dll را ایجاد کرده‌اند و آن را در مکانی قرار داده‌اند که بارگذاری نسخه مخرب فایل DLL را در اولویت قرار می‌دهد.

کد اجرا شده یک payload رمزگذاری شده Cobalt Strike را از فایل «c0000015.log» بارگیری و رمزگشایی می‌کند، که همراه با دو فایل دیگر از مرحله اولیه حمله حذف شده است.

در حالی که مشخص نیست چرا شرکت وابسته LockBit از VMware به ابزار‌های کامند لاین Windows Defender برای بارگذاری جانبی بیکون‌های Cobalt Strike تغییر رویکرد داده است، ممکن است به دلیل دور زدن حفاظت‌های هدفمند اجرا شده در پاسخ به روش قبلی باشد.

استفاده از ابزار‌های “living off the land” برای فرار از تشخیص EDR و AV این روز‌ها بسیار رایج است. از این رو سازمان‌ها باید کنترل‌های امنیتی خود را بررسی کنند و با ردیابی استفاده از فایل‌های اجرایی قانونی که می‌توانند توسط مهاجمان استفاده شوند، از خود هوشیاری کافی و وافی را نشان دهند.

بیشتر بخوانید