Fortinetは10月20日(米国時間)、「Mirai, RAR1Ransom, and GuardMiner – Multiple Malware Campaigns Target VMware Vulnerability」において、VMware製品に存在していたパッチ適用済みの脆弱性を悪用したマルウェアキャンペーンについて伝えた。悪用された脆弱性はCVE-2022-22954として特定されており、サーバサイドテンプレートインジェクションを引き起こすものとされている。

  • Mirai、RAR1Ransom、and GuardMiner – Multiple Malware Campaigns Target VMware Vulnerability

    Mirai, RAR1Ransom, and GuardMiner – Multiple Malware Campaigns Target VMware Vulnerability

CVE-2022-22954は2022年4月に公開されたVMware製品の脆弱性で、深刻度がCVSSv3スコア値9.8でCritical(緊急)に位置づけられている。攻撃者がペイロードを注入し、VMware Workspace ONE AccessおよびVMware Identity Managerなどでリモートコード実行が行えると報告されている。

Fortinetはこの脆弱性を追跡し、積極的に悪用されていたことを確認している。特に2022年8月に活発に使われており、LinuxデバイスにMiraiボットネットを展開しようとする攻撃や、XMRig Moneroマイナーの亜種であるRAR1RansomやGuardMinerを展開するキャンペーンに使われていたことが確認されている。

  • CVE-2022-22954 Activity|Fortinet

    CVE-2022-22954 Activity|Fortinet

Miraiのサンプルではデフォルトの認証情報のリストを利用してIoTデバイスを狙ったサービス運用妨害(DoS: Denial of Service)攻撃やブルートフォース攻撃を仕掛けるよう設計されていたことがわかった。AR1RansomとGuardMinerの配布には、オペレーティングシステムに応じたPowerShellまたはシェルスクリプトが使われており、他のソフトウェアのリモートコード実行に関する多くの欠陥を悪用し、他のホストに伝える機能を備えていたことも確認されている。

公開されたばかりの脆弱性がマルウェアのキャンペーンに積極的に悪用され、パッチが適用されていないシステムに侵入するために使われている。こうした脅威を軽減するには、必要なセキュリティ更新プログラムを優先的に適用することが望まれる。