2 Schwachstellen mit einem Schweregrad von 9,8 werden ausgenutzt. Ein dritter taucht auf

2 Schwachstellen mit einem Schweregrad von 9,8 werden ausgenutzt.  Ein dritter taucht auf

Getty Images

Böswillige Hacker, von denen einige staatlich unterstützt werden, nutzen aktiv zwei unabhängige Schwachstellen aus – beide mit einem Schweregrad von 9,8 von 10 möglichen – in der Hoffnung, sensible Unternehmensnetzwerke mit Hintertüren, Botnet-Software und anderen Formen von Malware zu infizieren.

Die laufenden Angriffe zielen auf ungepatchte Versionen mehrerer Produktlinien von VMware und der BIG-IP-Software von F5 ab, sagten Sicherheitsforscher. Beide Sicherheitslücken geben Angreifern die Möglichkeit, bösartigen Code oder Befehle aus der Ferne auszuführen, die mit uneingeschränkten Root-Systemrechten ausgeführt werden. Die weitgehend unkoordinierten Exploits scheinen bösartig zu sein, im Gegensatz zu gutartigen Scans, die versuchen, anfällige Server zu identifizieren und ihre Anzahl zu quantifizieren.

Zuerst: VMware

Am 6. April hat VMware eine als CVE-2022-22954 verfolgte Schwachstelle bezüglich Remotecodeausführung und einen als CVE-2022-22960 verfolgten Fehler bei der Rechteausweitung offengelegt und gepatcht. Laut einer beratend Am Mittwoch von der Cybersecurity and Infrastructure Security Agency veröffentlicht, „konnten böswillige Cyberakteure die Updates zurückentwickeln, um innerhalb von 48 Stunden einen Exploit zu entwickeln, und begannen schnell, die offengelegten Schwachstellen in nicht gepatchten Geräten auszunutzen.“

CISA sagte, die Akteure seien wahrscheinlich Teil einer fortgeschrittenen anhaltenden Bedrohung, ein Begriff für raffinierte und gut finanzierte Hackergruppen, die typischerweise von einem Nationalstaat unterstützt werden. Sobald die Hacker ein Gerät kompromittiert haben, verwenden sie ihren Root-Zugriff, um eine Webshell namens Dingo J-spy in den Netzwerken von mindestens drei Organisationen zu installieren.

„Laut vertrauenswürdigen Berichten von Drittanbietern können Bedrohungsakteure diese Schwachstellen verketten. In einer kompromittierten Organisation nutzte am oder um den 12. April 2022 ein nicht authentifizierter Akteur mit Netzwerkzugriff auf die Webschnittstelle CVE-2022-22954, um einen willkürlichen Shell-Befehl als VMware-Benutzer auszuführen“, heißt es in der Mitteilung vom Mittwoch. „Der Akteur hat dann CVE-2022-22960 ausgenutzt, um die Rechte des Benutzers auf root auszuweiten. Mit Root-Zugriff könnte der Akteur Protokolle löschen, Berechtigungen eskalieren und seitlich zu anderen Systemen wechseln.“

Der unabhängige Sicherheitsforscher Troy Mursch sagte in einer Direktnachricht, dass Exploits, die er in einem Honeypot erfasst hat, Payloads für Botnet-Software, Webshells und Cryptominer enthalten. Die Empfehlung von CISA kam am selben Tag wie VMware offengelegt und gepatcht zwei neue Schwachstellen. Eine der Schwachstellen, CVE-2022-22972, trägt ebenfalls eine Schweregradbewertung von – Sie haben es erraten – 9,8. Der andere, CVE-2022-22973, wird mit 7,8 bewertet.

Angesichts der bereits laufenden Exploits für die im letzten Monat behobenen VMware-Schwachstellen sagte CISA, dass sie „erwartet, dass böswillige Cyberakteure schnell eine Fähigkeit entwickeln, um die neu veröffentlichten Schwachstellen CVE-2022-22972 und CVE-2022-22973 in denselben betroffenen VMware-Produkten auszunutzen.

Auch BIG-IP unter Beschuss

Unterdessen werden Unternehmensnetzwerke auch von Hackern angegriffen, die CVE-2022-1388 ausnutzen, eine unabhängige Schwachstelle mit einem Schweregrad von 9,8, die in BIG-IP, einem Softwarepaket von F5, gefunden wurde. Vor neun Tagen hat das Unternehmen die Schwachstelle offengelegt und gepatcht, die Hacker ausnutzen können, um Befehle auszuführen, die mit Root-Systemrechten ausgeführt werden. Der Umfang und das Ausmaß der Schwachstelle lösten in einigen Sicherheitskreisen Erstaunen und Schock aus und brachten ihr eine hohe Bewertung des Schweregrads ein.

Innerhalb weniger Tage wurde Exploit-Code öffentlich zugänglich und fast unmittelbar danach, berichteten ForscherAusbeutungsversuche. Es war damals nicht klar, ob Blackhats oder Whitehats die Aktivität ausführten.

In den letzten Tagen haben Forscher jedoch Tausende von böswilligen Anfragen erfasst, die zeigen, dass ein erheblicher Teil der Exploits für schändliche Zwecke verwendet wird. In einer E-Mail schrieben Forscher der Sicherheitsfirma Greynoise:

Da die Anfragen mit diesem Exploit eine POST-Anfrage erfordern und zu einer nicht authentifizierten Befehlsshell auf dem F5 Big-IP-Gerät führen, haben wir Akteure, die diesen Exploit verwenden, als bösartig eingestuft. Wir haben Akteure beobachtet, die diesen Exploit zusätzlich zu bekannten Internet-VPS-Anbietern über Anonymitätsdienste wie VPNs oder TOR-Ausgangsknoten verwenden.

Wir erwarten, dass Akteure, die versuchen, anfällige Geräte zu finden, nicht-invasive Techniken verwenden, die keine POST-Anforderung beinhalten oder zu einer Befehlsshell führen, die in unserem Tag für F5 Big-IP-Crawler katalogisiert sind: https://d. h.greynoise.io/tag/f5-big-ip-Raupe. Dieses Crawler-Tag verzeichnete einen Anstieg des Datenverkehrs im Zusammenhang mit der Veröffentlichung von CVE-2022-1388.

Mursch sagte, dass die BIG-IP-Exploits versuchen, das gleiche Trio aus Webshells, Malware zur Durchführung verteilter Denial-of-Service-Angriffe und Kryptominern zu installieren, die bei den Angriffen auf nicht gepatchte VMware-Maschinen beobachtet wurden. Das Bild unten zeigt zum Beispiel einen Angriff, der versucht zu installieren weithin anerkannte DDoS-Malware.

Troja Mursch

Die folgenden drei Bilder zeigen Hacker, die die Schwachstelle ausnutzen, um Befehle auszuführen, die nach Verschlüsselungsschlüsseln und anderen Arten von sensiblen Daten suchen, die auf einem kompromittierten Server gespeichert sind.

Troja Mursch

Troja Mursch

Troja Mursch

Angesichts der Bedrohung durch Ransomware und nationalstaatliche Hacking-Kampagnen, wie sie gegen Kunden von SolarWinds und Microsoft, ist der potenzielle Schaden durch diese Schwachstellen erheblich. Administratoren sollten der Untersuchung dieser Schwachstellen in ihren Netzwerken Priorität einräumen und entsprechend handeln. Beratung und Anleitung von CISA, VMware und F5 sind hier,
hier, hierund hier.

Leave a Comment

Your email address will not be published.