Una variante de la botnet Mirai, el ransomware RAR1Ransom y GuardMiner, minero de la criptomoneda Monero, son las principales amenazas implantadas en los servidores comprometidos en los últimos meses.
VMware Workspace ONE Access, anteriormente VMware Identity Manager, es un componente de autenticación y control de acceso que forma parte de la plataforma empresarial Workspace ONE. Un error en la validación de los parámetros deviceUdid y deviceType permite construir una petición HTTP que resulte en la ejecución de código remoto en un servidor vulnerable. El fallo, de tipo SSTI (Server-Side Template Injection) y de gravedad crítica con una puntuación de 9.8 en la escala CVSS 3, se registró con el identificador CVE-2022-22954 y se dio a conocer en abril de 2022 como parte del aviso de seguridad VMSA-2022-0011.
Durante las semanas siguientes, debido a la facilidad de la explotación, al hecho de no requerir autenticación y a la publicación de pruebas de concepto funcionales, se detectaron ataques que intentaban extraer información y desplegaban puertas traseras o criptomineros. Sin embargo, la empresa Fortinet observó un aumento significativo de acciones hostiles en agosto, más complejas, y analizó los componentes implicados.
Los ejemplares vinculados a la botnet Mirai poseen la capacidad de propagarse a otros dispositivos, especialmente de IoT, usando credenciales por defecto y fuerza bruta. Los equipos controlados por la red participan comúnmente en operaciones de denegaciones de servicio.
Por otra parte, la combinación de RAR1Ransom y GuardMiner implica un beneficio económico para los ciberdelincientes por dos vías: la extorsión, a través del cifrado de información, y la minería de criptomonedas. RAR1Ransom se distingue por incorporar una copia legítima de la herramienta RAR para comprimir y cifrar los ficheros. GuardMiner abusa de los recursos de la máquina, con la consiguiente degradación del rendimiento, para obtener Monero; además, también es capaz de propagarse a otros equipos valiéndose de vulnerabilidades y credenciales débiles.
Si se emplea alguno de los productos afectados, se recomienda estudiar los avisos de seguridad aplicables y su documentación complementaria, evaluar las posibles acciones de mitigación e instalar las actualizaciones pertinentes para mantener protegidos los sistemas.
Más información:
VMware Security Advisories: VMSA-2022-0011
– https://www.vmware.com/security/advisories/VMSA-2022-0011.html
VMSA-2022-0011: Questions & Answers
– https://core.vmware.com/vmsa-2022-0011-questions-answers-faq
Mirai, RAR1Ransom, and GuardMiner – Multiple Malware Campaigns Target VMware Vulnerability
– https://www.fortinet.com/blog/threat-research/multiple-malware-campaigns-target-vmware-vulnerability
La entrada Vulnerabilidad en VMware Workspace ONE Access aprovechada para instalar malware se publicó primero en Una al Día.
