לאחר שתוקנה, פגיעות ב-VMware עדיין מנוצלת לכריית קריפטו ולכופרות

פגיעות שנחשפה לפני כחצי שנה בתוכנה של VMware מנוצלת לרעה על ידי ההאקרים להתקנת נוזקות – כך לפי דו"ח שפרסמו לפני ימים אחדים חוקרי פורטינט.

החולשה, שסווגה כ-CVE-2022-22954, פוגעת ביכולת של ביצוע קוד מרחוק ב-VMware Workspace ONE Access. מדובר ביכולת שעוזרת למנהלי מערכת להגדיר את חבילת האפליקציות שעובדים צריכים בסביבות העבודה שלהם.

כשהיא נחשפה, החולשה זכתה לדירוג חומרה של 9.8 מתוך 10. ענקית הווירטואליזציה חשפה ותיקנה את הפגיעות ב-6 באפריל השנה, אלא שלרוע המזל, בתוך 48 שעות, האקרים ביצעו הנדסה לאחור של העדכון, וכך ביכולתם לפרוץ לשרתים בארגונים שטרם התקינו את הטלאי.

"נוזקות רבות שמנסות לנצל את הפגיעות"

בפורטינט מציינים שההאקרים ניצלו את הפגיעות שבתוכנה כדי לערוך קמפיינים להתקנת כופרות, כמו גם להפעלת תוכנות לכרייה של מטבעות קריפטוגרפיים שונים.

חוקרי המעבדות של החברה, Fortiguard Labs, ראו באוגוסט עלייה פתאומית בניסיונות ניצול של החולשה עם שינוי משמעותי בטקטיקות התקיפה שלהם. כך, בעוד שבעבר ההאקרים התקינו נוזקות בעלות יכולת לקצירת סיסמאות ולאיסוף של נתונים אחרים, לפני כמה שבועות הם חשפו כופרה בשם RAR1ransom, שכורה מטבעות קריפטוגרפיים. הכופרה ידועה גם בשמות GuardMiner ו-Mirai. דרך פעולתה היא "לכלוא" התקנים מבוססי לינוקס לתוך רשת עצומה של בוטים, לטובת מימוש של מתקפות מניעת שירות מבוזרות (DDoS).

לדברי החוקרים, "על אף שהפגיעות הקריטית תוקנה כבר באפריל, עדיין יש מסעות מתקפה מרובים עם נוזקות שמנסות לנצל אותה. התוקפים השתמשו בפגיעות על מנת להחדיר נוזקות ולפרוץ לשרתים שמריצים את תוכנת VMware".