
Threat Spotlight : Tentatives d’exploitation de nouvelles vulnérabilités VMware
Les chercheurs de Barracuda ont analysé les attaques et les charges utiles détectées par les systèmes Barracuda entre avril et mai et ont découvert un flux constant de tentatives d'exploitation de deux vulnérabilités VMware récemment découvertes : CVE-2022-22954 et CVE-2022-22960.
Nous vous proposons une analyse approfondie d'une de ces vulnérabilités (CVE-2022-22954), des tendances repérées en matière d'attaques et des solutions à votre disposition pour mieux vous protéger contre ce type d'attaques.
Menaces particulièrement importantes
Nouvelles vulnérabilités VMware — Le 6 avril dernier, VMware a publié un avis de sécurité répertoriant plusieurs vulnérabilités. L'une des vulnérabilités les plus graves de cet avis est un problème d'injection de modèle côté serveur, la CVE-2022-22954. Cette vulnérabilité a pour effet de permettre à un utilisateur non authentifié ayant accès à l'interface Web d'exécuter toute commande shell quelconque en tant qu'utilisateur de VMware. La liste des vulnérabilités contenait également CVE-2022-22960, une vulnérabilité d’escalade de privilèges locale dans les produits affectés, qui pourrait éventuellement être exploitée en chaîne par des attaquants.
VMware a confirmé que l'exploitation de ces vulnérabilités était déjà en cours actuellement. CVE-2022-22954 a un score CVSS de 9,8 et CVE-2022-22960 a un score CVSS de 7,8.
Les chercheurs de Barracuda ont commencé à observer des recherches et des tentatives d'exploitation de cette vulnérabilité peu après la publication de l'avis et la diffusion initiale de la démonstration de faisabilité sur GitHub. Les attaques ont été constantes au fil du temps, à l’exception de quelques pics, et la grande majorité d’entre elles pourraient plutôt être qualifiées de recherches que de tentatives réelles d’exploitation.

La grande majorité des attaques provenaient des États-Unis sur le plan géographique, la plupart d'entre elles provenant de centres de données et de fournisseurs cloud. Si les recrudescences proviennent en grande partie de ces plages d'adresses IP, on observe également des tentatives répétées en provenance d'adresses IP connues comme dangereuses en Russie. Certaines de ces adresses IP effectuent des scans à la recherche de vulnérabilités spécifiques à intervalles réguliers, et il semble que les vulnérabilités VMware aient été ajoutées à leur liste habituelle alternante de recherches Laravel/Drupal/PHP.

Les détails
La charge utile la plus fréquemment observée était cette tentative d'injection de « cat/etc/password »

qui se traduit par :

La démonstration de faisabilité de la vulnérabilité publiée sur GitHub par sherlocksecurity a été la deuxième plus populaire pour les recherches. Cette chaîne a été découverte dans diverses recherches qui tentaient de vérifier son exploitabilité :

Certaines des chaînes de charge utile utilisant ce script étaient :

(Il s'agit de la valeur par défaut à partir du script de démonstration de faisabilité.)

Il y a également eu quelques tentatives d'utilisation de versions codées en base64 des recherches :

Qui se traduisent par :

Parmi les autres recherches, beaucoup d'autres survenaient avec des callbacks. Par exemple :

En termes de tentatives réelles d'exploitation, celles-ci provenaient principalement d'opérateurs de botnets.
L'une des charges utiles observées était la suivante :

Qui se traduit par :

La charge utile observée dans cet exemple est actuellement hors ligne ; cependant, l'adresse IP semble toujours y héberger actuellement des variantes du malware botnet Mirai DDoS.

Certaines tentatives d’exploitation de Log4Shell ont également été observées dans les données :


Nous avons également vu de faibles niveaux de tentatives EnemyBot dans les données :
Bien que cet échantillon spécifique ait été mis hors ligne assez rapidement, l’adresse IP utilisée dans cette attaque semble assez prolifique, comme en témoigne cette entrée GreyNoise :

Se protéger contre ces types d'attaques
Comme indiqué précédemment, les niveaux d'intérêt concernant ces vulnérabilités sont stables. Cependant, nous observerons probablement des recherches et des tentatives d'exploitation de faible ampleur pendant un certain temps. Même si les recherches et les attaques restent constants, il est important de prendre des mesures afin de protéger vos systèmes.
- Application de correctifs : il convient d'appliquer un correctif dès maintenant, surtout si le système est connecté à Internet d'une manière ou d'une autre.
- Pare-feu pour applications Web : placez un pare-feu d'applications Web devant ces systèmes pour renforcer la défense profonde contre les attaques de type zero-day et d'autres vulnérabilités, notamment Log4Shell.