Threat Spotlight : Tentatives d’exploitation de nouvelles vulnérabilités VMware

Thèmes:

17 mai 2022

Les chercheurs de Barracuda ont analysé les attaques et les charges utiles détectées par les systèmes Barracuda entre avril et mai et ont découvert un flux constant de tentatives d'exploitation de deux vulnérabilités VMware récemment découvertes : CVE-2022-22954 et CVE-2022-22960.

Nous vous proposons une analyse approfondie d'une de ces vulnérabilités (CVE-2022-22954), des tendances repérées en matière d'attaques et des solutions à votre disposition pour mieux vous protéger contre ce type d'attaques.

Menaces particulièrement importantes

Nouvelles vulnérabilités VMware — Le 6 avril dernier, VMware a publié un avis de sécurité répertoriant plusieurs vulnérabilités. L'une des vulnérabilités les plus graves de cet avis est un problème d'injection de modèle côté serveur, la CVE-2022-22954. Cette vulnérabilité a pour effet de permettre à un utilisateur non authentifié ayant accès à l'interface Web d'exécuter toute commande shell quelconque en tant qu'utilisateur de VMware. La liste des vulnérabilités contenait également CVE-2022-22960, une vulnérabilité d’escalade de privilèges locale dans les produits affectés, qui pourrait éventuellement être exploitée en chaîne par des attaquants.

VMware a confirmé que l'exploitation de ces vulnérabilités était déjà en cours actuellement. CVE-2022-22954 a un score CVSS de 9,8 et CVE-2022-22960 a un score CVSS de 7,8.

Les chercheurs de Barracuda ont commencé à observer des recherches et des tentatives d'exploitation de cette vulnérabilité peu après la publication de l'avis et la diffusion initiale de la démonstration de faisabilité sur GitHub. Les attaques ont été constantes au fil du temps, à l’exception de quelques pics, et la grande majorité d’entre elles pourraient plutôt être qualifiées de recherches que de tentatives réelles d’exploitation.

La grande majorité des attaques provenaient des États-Unis sur le plan géographique, la plupart d'entre elles provenant de centres de données et de fournisseurs cloud. Si les recrudescences proviennent en grande partie de ces plages d'adresses IP, on observe également des tentatives répétées en provenance d'adresses IP connues comme dangereuses en Russie. Certaines de ces adresses IP effectuent des scans à la recherche de vulnérabilités spécifiques à intervalles réguliers, et il semble que les vulnérabilités VMware aient été ajoutées à leur liste habituelle alternante de recherches Laravel/Drupal/PHP.

Adresses IP des pirates

Les détails

La charge utile la plus fréquemment observée était cette tentative d'injection de « cat/etc/password »

Vulnérabilités vmware RCE

qui se traduit par :

La démonstration de faisabilité de la vulnérabilité publiée sur GitHub par sherlocksecurity a été la deuxième plus populaire pour les recherches. Cette chaîne a été découverte dans diverses recherches qui tentaient de vérifier son exploitabilité :

Certaines des chaînes de charge utile utilisant ce script étaient :

(Il s'agit de la valeur par défaut à partir du script de démonstration de faisabilité.)

vulnérabilité vmware

Il y a également eu quelques tentatives d'utilisation de versions codées en base64 des recherches :

vulnérabilité vmware

Qui se traduisent par :

vulnérabilité

Parmi les autres recherches, beaucoup d'autres survenaient avec des callbacks. Par exemple :

vulnérabilité vmware

En termes de tentatives réelles d'exploitation, celles-ci provenaient principalement d'opérateurs de botnets.

L'une des charges utiles observées était la suivante :

vulnérabilitévmware

Qui se traduit par :

vulnérabilité vmware

La charge utile observée dans cet exemple est actuellement hors ligne ; cependant, l'adresse IP semble toujours y héberger actuellement des variantes du malware botnet Mirai DDoS.

Vulnérabilités

Certaines tentatives d’exploitation de Log4Shell ont également été observées dans les données :

vulnérabilité vmware

Nous avons également vu de faibles niveaux de tentatives EnemyBot dans les données :

Bien que cet échantillon spécifique ait été mis hors ligne assez rapidement, l’adresse IP utilisée dans cette attaque semble assez prolifique, comme en témoigne cette entrée GreyNoise :

Se protéger contre ces types d'attaques

Comme indiqué précédemment, les niveaux d'intérêt concernant ces vulnérabilités sont stables. Cependant, nous observerons probablement des recherches et des tentatives d'exploitation de faible ampleur pendant un certain temps. Même si les recherches et les attaques restent constants, il est important de prendre des mesures afin de protéger vos systèmes.

Application de correctifs : il convient d'appliquer un correctif dès maintenant, surtout si le système est connecté à Internet d'une manière ou d'une autre.

Pare-feu pour applications Web : placez un pare-feu d'applications Web devant ces systèmes pour renforcer la défense profonde contre les attaques de type zero-day et d'autres vulnérabilités, notamment Log4Shell.

e-book : Le nouvel ABC de la sécurité des applications

Tushar Richabadas

Tushar Richabadas est Senior Product Marketing Manager, Applications and Cloud Security chez Barracuda. Auparavant, il était responsable des produits Web Application Firewall et Load Balancer ADC de Barracuda, et son travail portait plus particulièrement sur le cloud et l'automatisation. Tushar possède une expérience très variée, allant de la gestion des équipes chargées de tester les produits de mise en réseau, à la gestion du marketing technique chez HCL-Cisco. Il suit de près l'évolution rapide de la sécurité numérique et a à cœur de simplifier les choses pour tous dans ce domaine.

Connectez-vous avec lui sur LinkedIn.