ผู้ไม่ประสงค์ดีใช้ช่องโหว่ RCE ของ VMware เพื่อติดตั้ง Backdoor

ผู้เชี่ยวชาญด้านความปลอดภัยตรวจพบกลุ่มผู้ไม่ประสงค์ดีชาวอิหร่านที่เรียกว่า APT35 หรือ Rocket Kitten นำช่องโหว่การเรียกใช้โค้ดระยะไกล หรือ RCE (Remote Code Execution) รหัส CVE-2022-22954 มีคะแนน CVSSv3 ที่ระดับความรุนแรง 9.8 ซึ่งเป็นช่องโหว่ที่ทำให้ผู้ไม่ประสงค์ดีสามารถยกระดับสิทธิของตนเองได้ และติดตั้ง Backdoor เพื่อย้อนกลับมาโจมตี ส่งผลต่อผลิตภัณฑ์ VMware Workspace ONE Access (เดิมเรียกว่า VMware Identity Manager)  ขั้นตอนการโจมตีของ APT35  ขั้นตอนการโจมตีเริ่มจากใช้คำสั่ง PowerShell บน Vulnerable service (Identity Manager) จากนั้นดึงข้อมูลชุดคำสั่ง PowerTrash จาก Command and Control (C2) Server ออกมาในรูปแบบของโค้ดที่มีความซับซ้อน และทำการโหลด Core…
Read More