伊朗黑客利用VMware RCE漏洞部署“核心影响力”后门

据观察，一个名为Rocket Kitten的与伊朗有关的威胁行为体正在积极利用最近修补的VMware漏洞，以获得初始访问权限，并在易受攻击的系统上部署Core Impact渗透测试工具。

跟踪结果为CVE-2022-22954（CVSS分数：9.8），关键问题涉及影响VMware Workspace ONE Access and Identity Manager的远程代码执行（RCE）。

虽然虚拟化服务提供商于2022年4月6日修补了该问题，但该公司提醒用户，一周后，该漏洞被证实是在野外利用的。

Morphisec实验室的研究人员在一份新的报告中表示：“利用此RCE漏洞的恶意参与者可能会获得无限的攻击面”。“这意味着对虚拟化主机和来宾环境的任何组件的最高权限访问”。

利用该漏洞的攻击链包括分发基于PowerShell的stager，然后使用该stager下载称为PowerTrash Loader的下一阶段有效负载，进而将渗透测试工具Core Impact注入内存以进行后续活动。

研究人员表示：“VMWare identity access management的广泛使用，再加上此次攻击提供的不受限制的远程访问，导致了跨行业的破坏性违规行为”。

“VMWare客户还应检查其VMWare体系结构，以确保受影响的组件不会意外发布在internet上，这会大大增加利用风险”。