Se ha observado que una vulnerabilidad ya parcheada en VMware Workspace ONE Access ha sido explotada para entregar tanto mineros de criptomoneda como ransomware en las máquinas afectadas.

El problema, rastreado como CVE-2022-22954 (puntuación CVSS: 9,8), se refiere a una vulnerabilidad de ejecución remota de código que se deriva de un caso de inyección de plantillas del lado del servidor.

Aunque el proveedor de servicios de virtualización solucionó el problema en abril de 2022, desde entonces ha sido explotado activamente.

Fortinet dijo que observó en agosto de 2022 ataques que buscaban aprovechar el defecto para desplegar la red de bots Mirai en dispositivos Linux, así como el RAR1Ransom y GuardMiner, una variante del minero XMRig Monero.

La muestra de Mirai se recupera de un servidor remoto y está diseñada para lanzar ataques de denegación de servicio (DoS) y de fuerza bruta dirigidos a dispositivos IoT conocidos haciendo uso de una lista de credenciales por defecto.

La distribución de RAR1Ransom y GuardMiner, por su parte, se realiza mediante un PowerShell o un script de shell dependiendo del sistema operativo. RAR1ransom también destaca por aprovechar la utilidad legítima WinRAR para iniciar el proceso de cifrado.

Los hallazgos son un recordatorio más de que las campañas de malware siguen explotando activamente los fallos recientemente revelados para entrar en sistemas sin parches, por lo que es esencial que los usuarios den prioridad a la aplicación de las actualizaciones de seguridad necesarias para mitigar dichas amenazas.Vea este reciente seminario web impartido por Jonathan Care de Lionfish Tech Advisors.

Info – Ciberseguridad Latam