vmware vulnerabilities

Threat Spotlight : Tentatives d’exploitation de nouvelles vulnérabilités VMware

Version imprimable, PDF et e-mail

Les chercheurs de Barracuda ont analysé les attaques et les charges détectées par les systèmes de Barracuda entre avril et mai et ont trouvé un flux constant de tentatives d’exploitation de deux vulnérabilités VMware récemment découvertes : CVE-2022-22954 et CVE-2022-22960.

Nous vous proposons une analyse approfondie d'une de ces vulnérabilités (CVE-2022-22954), des tendances repérées en matière d'attaques et des solutions à votre disposition pour mieux vous protéger contre ce type d'attaques.

Menaces particulièrement importantes

Nouvelles vulnérabilités VMware : le 6 avril, VMware a publié un rapport de sécurité répertoriant plusieurs vulnérabilités quant à la sécurité. L'une des vulnérabilités les plus préoccupantes de ce rapport est un problème d'injection de modèle côté serveur, la CVE-2022-22954. Cette vulnérabilité a pour effet de permettre à un utilisateur non authentifié ayant accès à l'interface Web d'exécuter toute commande shell quelconque en tant qu'utilisateur VMware. La liste des vulnérabilités contenait également la faille CVE-2022-22960, une vulnérabilité liée à une élévation de privilèges locaux sur des produits concernés, qui pourrait éventuellement être exploitée par des pirates.

VMware a confirmé que l'exploitation de ces vulnérabilités était déjà en cours actuellement. La CVE-2022-22954 a un score CVSS de 9,8, et la CVE-2022-22960 a un score CVSS de 7,8.

Les chercheurs de Barracuda ont commencé à observer des analyses et des tentatives d'exploitation de cette vulnérabilité peu après la publication du rapport et la diffusion initiale de la démonstration de faisabilité sur GitHub. Les attaques restent cohérentes sur le long terme, à quelques exceptions près, et la grande majorité d'entre elles sont des analyses plutôt que de véritables tentatives d'exploitation.

Vulnérabilités VMware

La grande majorité des attaques provenaient des États-Unis sur le plan géographique, la plupart d'entre elles provenant de centres de données et de fournisseurs cloud. Si les recrudescences proviennent en grande partie de ces plages d'adresses IP, on observe également des tentatives répétées en provenance d'adresses IP connues comme dangereuses en Russie. Certaines de ces adresses IP effectuent des analyses visant à détecter des vulnérabilités spécifiques à intervalles réguliers, et il semble que les vulnérabilités de VMware aient été intégrées à leur liste d'analyses régulières Laravel/Drupal/PHP.

Adresses IP des pirates

Les détails

La charge la plus courante était cette tentative d'injection : « cat/etc/password »

Vulnérabilités vmware RCE

Qui se traduit par :

Vulnérabilités VMware RCE

La démonstration de faisabilité de la vulnérabilité publiée sur GitHub par sherlocksecurity a été la deuxième plus populaire pour les analyses. Cette séquence a été découverte dans diverses analyses qui tentaient de vérifier l'exploitabilité :

vulnérabilité vmware

Les chaînes de charge utilisées par ce script sont les suivantes :

vulnérabilité vmware

(C'est la valeur par défaut à partir du script de démonstration de faisabilité).

vulnérabilité vmware

Il y a également eu quelques tentatives d'utilisation de versions codées en base64 des analyses :

vulnérabilité vmware

Qui se traduisait par :

vulnérabilité

Parmi les autres analyses, il y avait aussi beaucoup d'analyses qui se pratiquaient avec des callbacks. En voici un exemple :

vulnérabilité vmware

En ce qui concerne les tentatives d'exploitation réelles, les attaques provenaient principalement des opérateurs botnet.

L'une des charges observées était :

vulnérabilitévmware

Qui se traduit par :

vulnérabilité vmware

La charge présente dans cet exemple est actuellement hors ligne ; cependant, cette adresse IP semble toujours héberger des variantes du malware du botnet Mirai DDoS.

Vulnérabilités

Certaines tentatives d'exploitation Log4Shell ont également été observées dans les données :

vulnérabilité vmware

URL de malwares

Nous avons également constaté que les tentatives d'EnemyBot sont peu nombreuses dans les données :

 

Bien que cet exemple spécifique ait été mis hors ligne assez rapidement, l'adresse IP utilisée dans cette attaque semble assez prolifique, comme le démontre cet article de GreyNoise :

greynoise

Se protéger contre ces types d'attaques

Comme indiqué précédemment, les niveaux d'intérêt concernant ces vulnérabilités sont stables. Cependant, nous observerons probablement des scans et des tentatives d'exploitation de faible ampleur pendant un certain temps. Même si les scans et les attaques restent constants, il est important de prendre des mesures afin de protéger vos systèmes.

  • Application de correctifs : il convient d'appliquer un correctif dès maintenant, surtout si le système est connecté à Internet d'une manière ou d'une autre.
  • Web Application Firewall : placer un Web Application Firewall contre de tels systèmes renforcera votre système de défense approfondie contre les attaques de type « zero-day » et autres vulnérabilités, notamment Log4Shell.

e-book : Le nouvel ABC de la sécurité des applications

Remonter en haut de page
Tweeter
Partager
Partager