Pasar al contenido principal

VMware Workspace One Access, un área de trabajo digital que simplifica y protege la distribución y la gestión de aplicaciones, cuenta con una vulnerabilidad de severidad crítica que está siendo explotada de manera activa.

Dicho error, catalogado bajo el CVE-2022-22954, permite a un atacante remoto ejecutar código arbitrario. Los investigadores han observado que se está aprovechando nuevamente este error con la finalidad de implementar programas maliciosos, además de la herramienta RAR1Rasom, capaz de encriptar archivos protegidos con contraseña en los sistemas comprometidos. Asimismo, los atacantes utilizan los recursos de los dispositivos vulnerados para minar criptomonedas mediante el programa GuardMiner.

En adición a lo anterior, se ha hallado que se ha explotado el fallo destacado para realizar ataques distribuidos de denegación de servicio (DDoS) a través de la botnet conocida como Mirai.

Esta vulnerabilidad fue parcheada el pasado 6 de abril, encontrándose exploits publicados en ese momento, destacando la actividad maliciosa llevada a cabo por parte de APT35, con la finalidad de instalar puertas traseras en los sistemas vulnerables.

Como se ha mencionado anteriormente, VMware publicó el parche oficial que corrige este fallo, por lo que, para prevenir esta y otras vulnerabilidades, desde el BCSC se recomienda tener siempre los sistemas y aplicaciones actualizadas a la última versión disponible en cuanto se publiquen los parches correspondientes.

Análisis técnico

La vulnerabilidad destacada, que afecta a VMware Workspace One Access y está identificada bajo el CVE-2022-22954, permite a un atacante remoto ejecutar código arbitrario en el sistema de destino. El fallo existe debido a una validación de entrada inadecuada. Un atacante remoto puede enviar una solicitud HTTP especialmente diseñada y realizar una inyección de plantilla del lado del servidor.

En las nuevas campañas observadas que explotan dicho error, se destacan distintas etiologías maliciosas, que utilizan como vector de iniciación la descarga de los siguientes archivos desde Cloudflare:

  • phpupdate.exe: GuardMiner.
  • config.json: archivo de configuración para GuardMiner.
  • networkmanager.exe: ejecutable para escanear y propagar malware.
  • phpguard.exe: su función es mantener el funcionamiento de GuardMiner.
  • clean.bat: eliminación de otros programas relacionados con la minería.
  • cifrar.exe: herramienta RAR1Rasom.

Primeramente, observamos la implementación de GuardMiner, un software que aprovecha los recursos del sistema comprometido para minar Monero. Este programa tiene la capacidad de propagarse a otros hosts al aprovechar otras vulnerabilidades presentes en Apache Struts, Atlassian Confluence y Spring Cloud Gateway entre otros. En adición a lo anterior, este programa ha sido calificado como un troyano completo que puede ejecutar comandos PowerShell y establecer persistencia en los sistemas al añadir nuevas tareas programadas.

En relación a los ataques RAR1Rasom, cabe señalar que es una herramienta de ransomware que utiliza WinRAR con la finalidad de comprimir archivos de los dispositivos de las víctimas, bloqueándolos posteriormente con una contraseña desconocida por los usuarios. 

Por el momento se tiene conocimiento de que los actores de amenazas que se encuentran detrás de esta campaña de ransomware están exigiendo a las víctimas el pago de una cantidad de 2 XMR, alrededor de 300 euros, para proporcionar a los usuarios el desencriptador.

Por último, en relación a la botnet Mirai, se realizan ataques distribuidos de denegación de servicio, además de ataques de fuerza bruta. Estos últimos ataques destacados se lanzan mediante cuentas y contraseñas codificadas.

Los productos afectados por la anterior vulnerabilidad son los siguientes:

  • VMWare Workspace One Access versiones 20.10.0.0 – 21.08.0.1.

Solución

Como es habitual, para prevenir esta y otras vulnerabilidades, desde el BCSC se recomienda tener siempre los sistemas y aplicaciones actualizadas a la última versión disponible en cuanto se publiquen los parches correspondientes.

Es importante que se tomen medidas rápidamente para parchear o mitigar este problema en la implementación. Por ello, dada la gravedad de la vulnerabilidad, se recomienda aplicar la solución oficial propuesta por VMWare, disponible en el siguiente enlace:

  • HW-154129 – Patch instructions to address CVE-2022-22954, CVE-2022- 22955, CVE-2022-22956, CVE-2022-22957, CVE-2022-22958, CVE-2022- 22959, CVE-2022-22960, CVE-2022-22961 in Workspace ONE Access Appliance.

Asimismo, el fabricante ha proporcionado a los usuarios una mitigación alternativa, recomendando los siguientes pasos destacados:

  • Iniciar sesión como sshuser, sudo, para acceder como root.
  • Descargar y transferir el script HW-154129-applyWorkaround.py al sistema, siendo recomendable utilizar el protocolo SCP.
  • Navegar a la ruta del archivo descargado mediante el comando cd. ⋅ Ejecutar el script de Python usando el comando python3 HW-154129- applyWorkaround.py.

Compartir

Compartir en Linkedin