Несколько продуктов VMware используются в атаках с доступом к Active Directory Windows

АНБ заявляет, что российские государственные хакеры используют уязвимость VMware для взлома сетей

Агентство национальной безопасности заявляет, что российские государственные хакеры взламывают несколько систем VMware с помощью атак, которые позволяют хакерам устанавливать вредоносное ПО, получать несанкционированный доступ к конфиденциальным данным и постоянно удерживать широко используемые платформы для удаленной работы

Агентство сообщило в понедельник, что в проводимых атаках используется ошибка безопасности, которая не была исправлена ​​до прошлого четверга. CVE-2020-4006, поскольку уязвимость отслеживается, является ошибкой внедрения команд, что означает, что она позволяет злоумышленникам выполнять команды по своему выбору в операционной системе, в которой запущено уязвимое программное обеспечение. Эти уязвимости являются результатом кода, который не может отфильтровать небезопасный ввод данных пользователем, такой как заголовки HTTP или файлы cookie. VMware исправила CVE-2020-4006 после того, как получила известие от АНБ.

Святой Грааль хакера

Злоумышленники из группы, спонсируемой правительством России, используют уязвимость для получения первоначального доступа к уязвимым системам. Затем они загружают веб-оболочку, которая предоставляет постоянный интерфейс для выполнения команд сервера. Используя командный интерфейс, хакеры в конечном итоге могут получить доступ к активному каталогу, части серверных операционных систем Microsoft Windows, которую хакеры считают Святым Граалем, поскольку он позволяет им создавать учетные записи, изменять пароли и выполнять другие высокопривилегированные задачи

READ  Российские хакеры АНБ используют новую уязвимость VMware для кражи данных

«Эксплуатация посредством внедрения команды привела к установке веб-оболочки и последующей злонамеренной активности, когда учетные данные в форме утверждений аутентификации SAML были сгенерированы и отправлены в службы федерации Microsoft Active Directory, которые, в свою очередь, предоставили участникам доступ к защищенным данным, «Представители АНБ написали в понедельник в сообщении по кибербезопасности

Чтобы злоумышленники могли воспользоваться уязвимостью VMware, они сначала должны получить аутентифицированный доступ на основе пароля к интерфейсу управления устройством. Интерфейс по умолчанию работает через Интернет-порт 8443. Пароли должны быть установлены вручную при установке программного обеспечения, требование, которое предполагает, что администраторы либо выбирают слабые пароли, либо пароли скомпрометированы другими способами

«Злоумышленник с сетевым доступом к административному конфигуратору через порт 8443 и действующим паролем для учетной записи администратора конфигуратора может выполнять команды с неограниченными привилегиями в базовой операционной системе», — говорится в сообщении VMware, опубликованном в четверг. «Эта учетная запись является внутренней для затронутых продуктов, и пароль устанавливается во время развертывания. Злоумышленник должен обладать этим паролем, чтобы попытаться использовать CVE-2020-4006 ».

READ  Если у вас есть зарядное устройство для беспроводного телефона, прекратите использовать его прямо сейчас

Активные атаки происходят из-за того, что большое количество организаций инициировали процедуры работы на дому в ответ на пандемию COVID-19. Поскольку многие сотрудники имеют удаленный доступ к конфиденциальной информации, хранящейся в корпоративных и государственных сетях, программное обеспечение VMware играет ключевую роль в обеспечении безопасности соединений

Уязвимость внедрения команд затрагивает следующие пять платформ VMware:

  • VMware Access 3 20.01 и 20.10 в Linux
  • VMware vIDM 5 3.3.1, 3.3.2 и 3.3.3 в Linux
  • Коннектор VMware vIDM 3.3.1, 3.3.2, 3.3.3, 19.03
  • VMware Cloud Foundation 4.x
  • VMware vRealize Suite Lifecycle Manager 7 8.x

Пользователи одного из этих продуктов должны как можно скорее установить патч VMware. Им также следует проверить пароль, используемый для защиты продукта VMware, чтобы убедиться в его надежности. У NSA и VMware есть дополнительные советы по обеспечению безопасности систем по ссылкам выше

В сообщении АНБ, опубликованном в понедельник, не указано, что за атаками стоит хакерская группа, за исключением того, что она состоит из «спонсируемых государством злоумышленников в киберпространстве». В октябре ФБР и Агентство по кибербезопасности и безопасности инфраструктуры предупредили, что российские государственные хакеры нацелены на критическую уязвимость Windows, получившую название Zerologon. Эта русская хакерская группа известна под разными именами, включая Berserk Bear, Energetic Bear, TeamSpy, Dragonfly, Havex, Crouching Yeti и Koala

READ  Apple тестирует встроенный в дисплей датчик отпечатков пальцев для iPhone 13, рассматриваются складные iPhone

Сообщение обновлено, чтобы исправить затронутые продукты.