home Статьи АНБ заявляет, что российские государственные хакеры используют уязвимость VMware для взлома сетей

АНБ заявляет, что российские государственные хакеры используют уязвимость VMware для взлома сетей

Несколько продуктов VMware используются в атаках с доступом к Active Directory Windows

АНБ заявляет, что российские государственные хакеры используют уязвимость VMware для взлома сетей

Агентство национальной безопасности заявляет, что российские государственные хакеры взламывают несколько систем VMware с помощью атак, которые позволяют хакерам устанавливать вредоносное ПО, получать несанкционированный доступ к конфиденциальным данным и постоянно удерживать широко используемые платформы для удаленной работы

Агентство сообщило в понедельник, что в проводимых атаках используется ошибка безопасности, которая не была исправлена ​​до прошлого четверга. CVE-2020-4006, поскольку уязвимость отслеживается, является ошибкой внедрения команд, что означает, что она позволяет злоумышленникам выполнять команды по своему выбору в операционной системе, в которой запущено уязвимое программное обеспечение. Эти уязвимости являются результатом кода, который не может отфильтровать небезопасный ввод данных пользователем, такой как заголовки HTTP или файлы cookie. VMware исправила CVE-2020-4006 после того, как получила известие от АНБ.

Святой Грааль хакера

Злоумышленники из группы, спонсируемой правительством России, используют уязвимость для получения первоначального доступа к уязвимым системам. Затем они загружают веб-оболочку, которая предоставляет постоянный интерфейс для выполнения команд сервера. Используя командный интерфейс, хакеры в конечном итоге могут получить доступ к активному каталогу, части серверных операционных систем Microsoft Windows, которую хакеры считают Святым Граалем, поскольку он позволяет им создавать учетные записи, изменять пароли и выполнять другие высокопривилегированные задачи

READ  Как загрузить резервную копию из iCloud

«Эксплуатация посредством внедрения команды привела к установке веб-оболочки и последующей злонамеренной активности, когда учетные данные в форме утверждений аутентификации SAML были сгенерированы и отправлены в службы федерации Microsoft Active Directory, которые, в свою очередь, предоставили участникам доступ к защищенным данным, «Представители АНБ написали в понедельник в сообщении по кибербезопасности

Чтобы злоумышленники могли воспользоваться уязвимостью VMware, они сначала должны получить аутентифицированный доступ на основе пароля к интерфейсу управления устройством. Интерфейс по умолчанию работает через Интернет-порт 8443. Пароли должны быть установлены вручную при установке программного обеспечения, требование, которое предполагает, что администраторы либо выбирают слабые пароли, либо пароли скомпрометированы другими способами

«Злоумышленник с сетевым доступом к административному конфигуратору через порт 8443 и действующим паролем для учетной записи администратора конфигуратора может выполнять команды с неограниченными привилегиями в базовой операционной системе», — говорится в сообщении VMware, опубликованном в четверг. «Эта учетная запись является внутренней для затронутых продуктов, и пароль устанавливается во время развертывания. Злоумышленник должен обладать этим паролем, чтобы попытаться использовать CVE-2020-4006 ».

READ  Использование Apple сверхширокополосной связи побуждает все больше фирм использовать эту технологию

Активные атаки происходят из-за того, что большое количество организаций инициировали процедуры работы на дому в ответ на пандемию COVID-19. Поскольку многие сотрудники имеют удаленный доступ к конфиденциальной информации, хранящейся в корпоративных и государственных сетях, программное обеспечение VMware играет ключевую роль в обеспечении безопасности соединений

Уязвимость внедрения команд затрагивает следующие пять платформ VMware:

  • VMware Access 3 20.01 и 20.10 в Linux
  • VMware vIDM 5 3.3.1, 3.3.2 и 3.3.3 в Linux
  • Коннектор VMware vIDM 3.3.1, 3.3.2, 3.3.3, 19.03
  • VMware Cloud Foundation 4.x
  • VMware vRealize Suite Lifecycle Manager 7 8.x

Пользователи одного из этих продуктов должны как можно скорее установить патч VMware. Им также следует проверить пароль, используемый для защиты продукта VMware, чтобы убедиться в его надежности. У NSA и VMware есть дополнительные советы по обеспечению безопасности систем по ссылкам выше

В сообщении АНБ, опубликованном в понедельник, не указано, что за атаками стоит хакерская группа, за исключением того, что она состоит из «спонсируемых государством злоумышленников в киберпространстве». В октябре ФБР и Агентство по кибербезопасности и безопасности инфраструктуры предупредили, что российские государственные хакеры нацелены на критическую уязвимость Windows, получившую название Zerologon. Эта русская хакерская группа известна под разными именами, включая Berserk Bear, Energetic Bear, TeamSpy, Dragonfly, Havex, Crouching Yeti и Koala

READ  Сборка Windows 10 21286 представлена ​​участникам программы предварительной оценки на канале разработчиков

Сообщение обновлено, чтобы исправить затронутые продукты.

CITSOFT.RU 2021