CISA (Cybersecurity and Infrastructure Security Agency), l’agenzia federale degli Stati Uniti che si occupa di sicurezza informatica e protezione delle infrastrutture critiche ha pubblicato un avviso ufficiale esortando i soggetti che utilizzano le soluzioni per la virtualizzazione VMware a installare immediatamente le patch di sicurezza rilasciate dal produttore.
Viene rivelato che un gruppo di aggressori, alcuni palesamente sovvenzionati da enti governativi, stanno attivamente sfruttando due vulnerabilità non correlate presenti nei prodotti VMware. In termini di gravità, entrambe sono valutate con un punteggio di 9,8 su un massimo di 10 e possono essere sfruttate per aggredire reti aziendali, attivare backdoor, botnet e altre forme di malware.
Il 6 aprile scorso VMware ha rivelato e corretto una vulnerabilità legata all’esecuzione di codice in modalità remota (CVE-2022-22954) e un bug che può facilitare l’acquisizione di privilegi più elevati (CVE-2022-22960).
Stando a quanto conferma CISA, gli aggressori sono stati in grado di effettuare il reverse engineering delle patch ufficiali VMware in sole 48 ore iniziando rapidamente a sfruttare le vulnerabilità.
Secondo i report condivisi da alcune tra le principali aziende che offrono strumenti per la sicurezza informatica, gli attaccanti sono in grado di concatenare le vulnerabilità di VMware per causare danni e sottrarre dati riservati.
Nel caso di un’azienda attaccata intorno a metà aprile con un’iniziativa mirata, gli utenti malintenzionati hanno prima sfruttato CVE-2022-22954 per eseguire un comando shell arbitrario come utente VMware. La vulnerabilità identificata come CVE-2022-22960 è stata poi usata per acquistare diritti di root.
Con l’accesso come root, un utente malintenzionato può cancellare i log, acquisire ulteriori permessi e spostarsi lateralmente su altri sistemi ampliando il suo raggio d’azione.
L’allerta di CISA è arrivata lo stesso giorno in cui VMware ha corretto due nuove vulnerabilità: una delle vulnerabilità (CVE-2022-22972) ha sempre un punteggio pari a 9,8 in termini di criticità; l’altra (CVE-2022-22973) ha un punteggio di 7,8.