Peretas telah mengeksploitasi kerentanan yang sekarang ditambal di VMware Workspace ONE Access dalam kampanye untuk menginstal berbagai ransomware dan penambang cryptocurrency, seorang peneliti di perusahaan keamanan Fortinet mengatakan pada hari Kamis.
CVE-2022-22954 adalah kerentanan eksekusi kode jarak jauh di VMware Workspace ONE Access yang membawa peringkat keparahan 9,8 dari kemungkinan 10. VMware mengungkapkan dan menambal kerentanan pada 6 April.
Dalam 48 jam, peretas merekayasa balik pembaruan dan mengembangkan eksploitasi kerja yang kemudian mereka gunakan untuk mengkompromikan server yang belum menginstal perbaikan.
Akses VMware Workspace ONE membantu administrator mengonfigurasi rangkaian aplikasi yang dibutuhkan karyawan di lingkungan kerja mereka.
Pada bulan Agustus, para peneliti di Fortiguard Labs melihat lonjakan tiba-tiba dalam upaya eksploitasi dan perubahan besar dalam taktik. Padahal sebelum para peretas memasang muatan yang memanen kata sandi dan mengumpulkan data lain, gelombang baru membawa sesuatu yang lain—khususnya, ransomware yang dikenal sebagai RAR1ransom, penambang cryptocurrency yang dikenal sebagai GuardMiner, dan Mirai, perangkat lunak yang menyatukan perangkat Linux menjadi botnet besar untuk digunakan dalam serangan penolakan layanan terdistribusi.
“Meskipun kerentanan kritis CVE-2022-22954 sudah ditambal pada bulan April, masih ada beberapa kampanye malware yang mencoba mengeksploitasinya,” tulis peneliti Fortiguard Labs Cara Lin.
Penyerang, tambahnya, menggunakannya untuk menyuntikkan muatan dan mencapai eksekusi kode jarak jauh pada server yang menjalankan produk.
Selengkapnya: ars TECHNICA
