Οι προηγμένοι χάκερ εκμεταλλεύονται ενεργά μια ευπάθεια κρίσιμης εκτέλεσης απομακρυσμένου κώδικα (RCE), CVE-2022-22954, που επηρεάζει το VMware Workspace ONE Access (παλαιότερα ονομαζόταν VMware Identity Manager).
Το ζήτημα αντιμετωπίστηκε σε μια ενημέρωση ασφαλείας πριν από 20 ημέρες μαζί με δύο ακόμη RCE – CVE-2022-22957 και CVE-2022-22958 που επηρεάζουν επίσης το VMware Identity Manager (vIDM), το VMware vRealize Automation (vRA), το VMware Cloud Foundation και vRealize Suite Lifecycle Manager.
Αμέσως μετά τη δημόσια αποκάλυψη των ελαττωμάτων, εμφανίστηκε στον δημόσιο χώρο ο κώδικας εκμετάλλευσης απόδειξης της έννοιας (PoC), επιτρέποντας στους χάκερ που χρησιμοποιούν μόχλευση να στοχεύουν ευάλωτες αναπτύξεις προϊόντων VMware. Η VMware επιβεβαίωσε την εκμετάλλευση του CVE-2022-22954 στη φύση.
Τώρα, οι ερευνητές στο Morphisec αναφέρουν ότι βλέπουν εκμετάλλευση από παράγοντες προηγμένης επίμονης απειλής (APT), ιδιαίτερα μια ιρανική ομάδα hacking που παρακολουθείται ως APT35, γνωστός και ως «Rocket Kitten».
