Российские хакеры АНБ используют новую уязвимость VMware для кражи данных

Posted on : 09.12.2020
Новости 

Российские хакеры АНБ используют новую уязвимость VMware для кражи данных

Агентство национальной безопасности (АНБ) предупреждает, что спонсируемые государством российские злоумышленники используют недавно исправленную уязвимость VMware для кражи конфиденциальной информации после развертывания веб-шеллов на уязвимых серверах

«АНБ призывает администраторов сети Национальной системы безопасности (NSS), Министерства обороны (DoD) и оборонной промышленной базы (DIB) уделять первоочередное внимание устранению уязвимости на затронутых серверах», — заявили в разведывательном агентстве Министерства обороны США

На просьбу предоставить дополнительную информацию о целях, скомпрометированных в этих атаках, АНБ заявило BleepingComputer, что «не раскрывает подробностей о жертвах злонамеренной киберактивности из-за рубежа».

«Любая организация, использующая затронутые продукты, должна незамедлительно применить исправление, выпущенное поставщиком», — призвало АНБ

АНБ также воздержалось от предоставления дополнительной информации о дате начала этих атак, заявив, что «[мы] не предоставляем конкретных сведений об источнике какой-либо конкретной информации, чтобы мы могли продолжать выполнять нашу жизненно важную роль для страны, включая развитие и обмен техническими рекомендациями, подобными этому отчету «.

Доступны обновления безопасности и обходные пути

VMware выпустила обновления безопасности для устранения ошибки безопасности 3 декабря после публичного раскрытия уязвимости две недели назад и предоставления временного обходного пути, который полностью удаляет вектор атаки и предотвращает эксплуатацию

CVE-2020-4006 изначально была оценена как уязвимость с критической степенью серьезности, но VMware снизила ее максимальную степень серьезности до «Важно» после выпуска исправления и совместного использования этой уязвимости, требующей «действительного пароля для учетной записи администратора конфигуратора».

READ  Пропуск Paris Smart Navigo появится в Apple Wallet в феврале

«Эта учетная запись является внутренней для затронутых продуктов, и пароль устанавливается во время развертывания. Злоумышленник должен обладать этим паролем, чтобы попытаться использовать CVE-2020-4006», — поясняет VMware

Полный список версий продуктов VMware, на которые распространяется действие нулевого дня, включает:

  • VMware Workspace One Access 20.01, 20.10 (Linux)
  • VMware Identity Manager (vIDM) от 3.3.1 до 3.3.3 (Linux)
  • Коннектор VMware Identity Manager (коннектор vIDM) 3.3.1, 3.3.2 (Linux)
  • Коннектор VMware Identity Manager (коннектор vIDM) 3.3.1, 3.3.2, 3.3.3 / 19.03.0.0, 19.03.0.1 (Windows)
  • VMware Cloud Foundation 6 4.x
  • VMware vRealize Suite Lifecycle Manager 7 8.x

Администраторы, которые не могут немедленно развернуть исправление, могут использовать временный обходной путь для предотвращения эксплуатации CVE-2020-4006. Информация о том, как реализовать и отменить обходной путь на серверах Linux и Windows, доступна ЗДЕСЬ

«Этот обходной путь должен быть временным, пока не удастся полностью исправить систему», — заявили в АНБ. «Кроме того, проверьте и укрепите конфигурации и мониторинг поставщиков федеративной аутентификации».

Эксплуатация позволяет развертывать веб-оболочку и кражу данных

В атаках, использующих CVE-2020-4006, АНБ наблюдало, что злоумышленники подключались к открытому веб-интерфейсу управления устройствами, на которых запущены уязвимые продукты VMware, и проникали в сети организаций для установки веб-шеллов с помощью внедрения команд

READ  Как использовать Коллекции в Microsoft Edge

После развертывания веб-оболочек злоумышленники крадут конфиденциальные данные, используя учетные данные SAML, чтобы получить доступ к серверам Microsoft Active Directory Federation Services (ADFS)

Успешная эксплуатация уязвимости, обозначенной как CVE-2020-4006, также позволяет злоумышленникам выполнять команды Linux на скомпрометированных устройствах, что может помочь им добиться устойчивости

«При использовании продуктов, выполняющих аутентификацию, крайне важно, чтобы сервер и все службы, которые от него зависели, были правильно настроены для безопасной работы и интеграции», — поясняет АНБ

«В противном случае утверждения SAML могут быть сфальсифицированы, предоставляя доступ к многочисленным ресурсам. При интеграции серверов аутентификации с ADFS АНБ рекомендует следовать передовым методам Microsoft, особенно для защиты утверждений SAML и требования многофакторной аутентификации».

Обнаружить эти атаки с помощью сетевых индикаторов невозможно, поскольку вредоносная деятельность осуществляется после подключения к веб-интерфейсу управления через зашифрованные туннели TLS

Однако операторы exit, за которыми следуют 3-значные числа, такие как exit 123, найденные в журнале /opt/vmware/horizon/workspace/logs/configurator.log на серверах, указывают на то, что на устройстве могла произойти эксплуатационная активность

«Могут присутствовать и другие команды вместе с закодированными сценариями. Если такие журналы обнаружены, следует выполнить действия по реагированию на инциденты», — добавило АНБ. «Рекомендуется дополнительное исследование сервера, особенно на предмет вредоносных программ веб-оболочки».

READ  T-Mobile подтверждает отключение 19 устройств к 29 января Сообщество

Снижение риска успешных атак

Риск безопасности этой уязвимости снижается за счет того, что этот пароль должен быть установлен во время развертывания — выбор уникального и надежного пароля настоятельно рекомендуется

Ограничение доступа к веб-интерфейсу управления для затронутых продуктов дополнительно снижает риск успешной атаки

Агентство рекомендует в сообщении [PDF], что «сетевые администраторы NSS, DoD и DIB ограничивают доступность интерфейса управления на серверах только небольшим набором известных систем и блокируют прямой доступ в Интернет».

При подозрении на компрометацию АНБ рекомендует проверять журналы сервера на наличие признаков эксплуатации, проверять и обновлять конфигурации служб аутентификации и внедрять многофакторную аутентификацию для служб учетных данных безопасности

Не указывая пальцами

АНБ не назвало поддерживаемую Россией группу APT, использующую уязвимость внедрения команд VMware в текущих атаках

Однако, по крайней мере, одна такая хакерская группа активно атакует сети государственных, местных, территориальных и племенных (SLTT) государственных организаций США в течение последних нескольких месяцев

ФБР и DHS-CISA заявили в совместном сообщении, опубликованном в октябре, что спонсируемая государством российская хакерская группа Energetic Bear взломала и похитила данные из правительственных сетей США, начиная с сентября 2020 года

DHS-CISA предоставляет более подробную информацию об исторической вредоносной киберактивности , направленной на организации США (отслеживается как GRIZZLY STEPPE)

Источник