Support technique
Documentation
Connexion
Nous contacter
Des pirates exploitent une faille critique dans VMware Workspace One Access
Le 4 novembre 2022 - L'équipe de relations publiques de TuxCare
Les chercheurs de la société de cybersécurité Fortinet ont découvert une campagne malveillante dans laquelle les attaquants exploitent une vulnérabilité critique dans l'accès VMware Workspace One pour diffuser divers types de logiciels malveillants, notamment l'outil RAR1Ransom, qui verrouille les fichiers dans des archives protégées par mot de passe.
VMware Workspace ONE Access est conçu pour offrir aux clients un accès plus rapide aux applications SaaS, Web et mobiles natives grâce à l'authentification multifactorielle, l'accès conditionnel et l'authentification unique. Fondamentalement, il offre une expérience utilisateur plus rapide et plus sécurisée pour l'espace de travail numérique des utilisateurs. Parmi ses principales offres, citons la fourniture d'une expérience utilisateur de type grand public pour les applications d'entreprise, l'intégration plus rapide de nouvelles applications, l'accès de confiance zéro et un espace de travail numérique intelligent.
La vulnérabilité est répertoriée sous le nom de CVE-2022-22954. Il s'agit d'une faille d'exécution de code à distance déclenchée par l'injection de modèles côté serveur. Dans les campagnes observées, les acteurs de la menace utilisent le botnet Mira pour des attaques par déni de service distribué (DDoS), le mineur de crypto-monnaie GuardMiner et l'outil RAR1Ransom.
En août, les attaquants sont passés de tentatives d'exfiltration de données ciblées à des cryptomonnaies, des file-tokens et des DDoS à partir d'une variante de Miral, en utilisant des scripts Bash et PowerShell pour cibler les systèmes Linux et Windows. Les scripts récupèrent une liste de fichiers à lancer sur la machine compromise.
Parmi les fichiers téléchargés par le script PowerShell "init.ps1" figurent : phpupdate.exe, un logiciel de minage de Monero Xmrig ; config.json : fichier de configuration pour les pools de minage ; networkmanager.exe, un exécutable utilisé pour analyser et propager les infections ; phpguard.exe, un exécutable utilisé pour maintenir le mineur Xmrig en activité ; clean.bat, un fichier script pour supprimer les autres cryptomineurs sur l'hôte compromis ; encrypt.exe, un ransomware RAR1.
Les attaquants utilisent RAR1Ransom comme un simple outil de ransomware. L'outil abuse de WinRAR pour compresser les fichiers de la victime et les verrouiller avec un mot de passe. RAR1Ransom cible une liste spécifique de types de fichiers et finit par ajouter l'extension "rart". Le malware dépose ensuite une note de rançon demandant le paiement de 2 XMR à une adresse de portefeuille fournie.
Les sources de cet article comprennent un article de BleepingComputer.
