Содержание

Агентство национальной безопасности (АНБ) предупреждает, что спонсируемые государством российские злоумышленники используют недавно исправленную уязвимость VMware для кражи конфиденциальной информации после развертывания веб-шеллов на уязвимых серверах
«АНБ призывает администраторов сети Национальной системы безопасности (NSS), Министерства обороны (DoD) и оборонной промышленной базы (DIB) уделять первоочередное внимание устранению уязвимости на затронутых серверах», — заявили в разведывательном агентстве Министерства обороны США
На просьбу предоставить дополнительную информацию о целях, скомпрометированных в этих атаках, АНБ заявило BleepingComputer, что «не раскрывает подробностей о жертвах злонамеренной киберактивности из-за рубежа».
«Любая организация, использующая затронутые продукты, должна незамедлительно применить исправление, выпущенное поставщиком», — призвало АНБ
АНБ также воздержалось от предоставления дополнительной информации о дате начала этих атак, заявив, что «[мы] не предоставляем конкретных сведений об источнике какой-либо конкретной информации, чтобы мы могли продолжать выполнять нашу жизненно важную роль для страны, включая развитие и обмен техническими рекомендациями, подобными этому отчету «.
Доступны обновления безопасности и обходные пути
VMware выпустила обновления безопасности для устранения ошибки безопасности 3 декабря после публичного раскрытия уязвимости две недели назад и предоставления временного обходного пути, который полностью удаляет вектор атаки и предотвращает эксплуатацию
CVE-2020-4006 изначально была оценена как уязвимость с критической степенью серьезности, но VMware снизила ее максимальную степень серьезности до «Важно» после выпуска исправления и совместного использования этой уязвимости, требующей «действительного пароля для учетной записи администратора конфигуратора».
«Эта учетная запись является внутренней для затронутых продуктов, и пароль устанавливается во время развертывания. Злоумышленник должен обладать этим паролем, чтобы попытаться использовать CVE-2020-4006», — поясняет VMware
Полный список версий продуктов VMware, на которые распространяется действие нулевого дня, включает:
- VMware Workspace One Access 20.01, 20.10 (Linux)
- VMware Identity Manager (vIDM) от 3.3.1 до 3.3.3 (Linux)
- Коннектор VMware Identity Manager (коннектор vIDM) 3.3.1, 3.3.2 (Linux)
- Коннектор VMware Identity Manager (коннектор vIDM) 3.3.1, 3.3.2, 3.3.3 / 19.03.0.0, 19.03.0.1 (Windows)
- VMware Cloud Foundation 6 4.x
- VMware vRealize Suite Lifecycle Manager 7 8.x
Администраторы, которые не могут немедленно развернуть исправление, могут использовать временный обходной путь для предотвращения эксплуатации CVE-2020-4006. Информация о том, как реализовать и отменить обходной путь на серверах Linux и Windows, доступна ЗДЕСЬ
«Этот обходной путь должен быть временным, пока не удастся полностью исправить систему», — заявили в АНБ. «Кроме того, проверьте и укрепите конфигурации и мониторинг поставщиков федеративной аутентификации».
Эксплуатация позволяет развертывать веб-оболочку и кражу данных
В атаках, использующих CVE-2020-4006, АНБ наблюдало, что злоумышленники подключались к открытому веб-интерфейсу управления устройствами, на которых запущены уязвимые продукты VMware, и проникали в сети организаций для установки веб-шеллов с помощью внедрения команд
После развертывания веб-оболочек злоумышленники крадут конфиденциальные данные, используя учетные данные SAML, чтобы получить доступ к серверам Microsoft Active Directory Federation Services (ADFS)
Успешная эксплуатация уязвимости, обозначенной как CVE-2020-4006, также позволяет злоумышленникам выполнять команды Linux на скомпрометированных устройствах, что может помочь им добиться устойчивости
«При использовании продуктов, выполняющих аутентификацию, крайне важно, чтобы сервер и все службы, которые от него зависели, были правильно настроены для безопасной работы и интеграции», — поясняет АНБ
«В противном случае утверждения SAML могут быть сфальсифицированы, предоставляя доступ к многочисленным ресурсам. При интеграции серверов аутентификации с ADFS АНБ рекомендует следовать передовым методам Microsoft, особенно для защиты утверждений SAML и требования многофакторной аутентификации».
Обнаружить эти атаки с помощью сетевых индикаторов невозможно, поскольку вредоносная деятельность осуществляется после подключения к веб-интерфейсу управления через зашифрованные туннели TLS
Однако операторы exit, за которыми следуют 3-значные числа, такие как exit 123, найденные в журнале /opt/vmware/horizon/workspace/logs/configurator.log на серверах, указывают на то, что на устройстве могла произойти эксплуатационная активность
«Могут присутствовать и другие команды вместе с закодированными сценариями. Если такие журналы обнаружены, следует выполнить действия по реагированию на инциденты», — добавило АНБ. «Рекомендуется дополнительное исследование сервера, особенно на предмет вредоносных программ веб-оболочки».
Снижение риска успешных атак
Риск безопасности этой уязвимости снижается за счет того, что этот пароль должен быть установлен во время развертывания — выбор уникального и надежного пароля настоятельно рекомендуется
Ограничение доступа к веб-интерфейсу управления для затронутых продуктов дополнительно снижает риск успешной атаки
Агентство рекомендует в сообщении [PDF], что «сетевые администраторы NSS, DoD и DIB ограничивают доступность интерфейса управления на серверах только небольшим набором известных систем и блокируют прямой доступ в Интернет».
При подозрении на компрометацию АНБ рекомендует проверять журналы сервера на наличие признаков эксплуатации, проверять и обновлять конфигурации служб аутентификации и внедрять многофакторную аутентификацию для служб учетных данных безопасности
Не указывая пальцами
АНБ не назвало поддерживаемую Россией группу APT, использующую уязвимость внедрения команд VMware в текущих атаках
Однако, по крайней мере, одна такая хакерская группа активно атакует сети государственных, местных, территориальных и племенных (SLTT) государственных организаций США в течение последних нескольких месяцев
ФБР и DHS-CISA заявили в совместном сообщении, опубликованном в октябре, что спонсируемая государством российская хакерская группа Energetic Bear взломала и похитила данные из правительственных сетей США, начиная с сентября 2020 года
DHS-CISA предоставляет более подробную информацию об исторической вредоносной киберактивности , направленной на организации США (отслеживается как GRIZZLY STEPPE)