安全研究人员警告,VMware身份管理方案Workspace ONE Access一项半年前发现并修补的重大漏洞已经遭到滥用,被植入多项恶意程序。
VMware Workspace One Access原名Identity Manager,今年4月VMware公布并修补了编号CVE-2022-22954的漏洞,可被攻击者通过发送带有恶意指令的消息,发动指令注入攻击,为一项风险值9.8的重大漏洞。
从4月后,一直有针对这个平台的攻击行动。不过这些行动主要目的是刺探受害者敏感资料,像是密码和主机文件。但在8月间,Fortinet研究人员发现更危险的活动,他们发现有人分别部署Mirai变种、勒索软件以及采矿软件攻击VMware平台。其中Mirai变种锁定Linux-based网络设备。由于Mirai主要手段是拒绝服务及暴力破解,研究人员也解码出攻击者使用的密码,其中除了1234、guest、root、administrator、system等常见默认账号外,也可见到hikvision、QuestModem、Vstarcam(威视达康)、3Com等受欢迎的网络设备品牌的默认账号。
图片来源/Fortinet
研究人员另外还发现一波分别针对Windows及Linux设备发动的攻击,其中在Windows运用PowerShell行程下载勒索门罗币(Monero)的RAR1Ransom勒索软件,而针对Linux设备,则利用Python函数库curl、wget及urlopen等指令下载GuardMiner木马程序,以挖取门罗币。
研究人员呼吁企业用户尽快安装更新版的VMware软件,并注意网络环境中任何可疑的行动。