Κυριακή, 21 Φεβρουαρίου, 16:40
Αρχική security NSA: Ρώσοι hackers χρησιμοποιούν VMware ευπάθεια και κλέβουν δεδομένα

NSA: Ρώσοι hackers χρησιμοποιούν VMware ευπάθεια και κλέβουν δεδομένα

Η Εθνική Υπηρεσία Ασφάλειας (NSA) προειδοποιεί ότι κρατικοί hackers της Ρωσίας εκμεταλλεύονται μια πρόσφατα διορθωμένη ευπάθεια σε VMware προϊόντα για κλοπή ευαίσθητων πληροφοριών (αφού πρώτα γίνει ανάπτυξη web shells σε ευάλωτους servers).

NSA
NSA: Ρώσοι hackers χρησιμοποιούν VMware ευπάθεια και κλέβουν δεδομένα

Η NSA ενθαρρύνει τους διαχειριστές δικτύων του Εθνικού Συστήματος Ασφαλείας (NSS), του Υπουργείου Άμυνας (DoD) και άλλων παρόμοιων υπηρεσιών να δώσουν προτεραιότητα στον μετριασμό της ευπάθειας στους servers“, ανέφερε η υπηρεσία πληροφοριών του Υπουργείου Άμυνας των ΗΠΑ.

Η NSA δεν έδωσε πληροφορίες για τα θύματα των επιθέσεων που εκμεταλλεύονται την ευπάθεια.

Οποιοσδήποτε οργανισμός χρησιμοποιεί τα ευάλωτα προϊόντα Vmware θα πρέπει να λάβει άμεσα μέτρα για να εφαρμόσει την ενημερωμένη έκδοση κώδικα που κυκλοφόρησε ο προμηθευτής“, είπε η NSA.

NSA
NSA: Ρώσοι hackers χρησιμοποιούν VMware ευπάθεια και κλέβουν δεδομένα

Διαθέσιμες ενημερώσεις ασφαλείας

Η VMware κυκλοφόρησε ενημερώσεις ασφαλείας στις 3 Δεκεμβρίου για να διορθώσει την ευπάθεια. Το σφάλμα είχε αποκαλυφθεί δημόσια περίπου δύο εβδομάδες πριν τις ενημερώσεις.

Η ευπάθεια σε προϊόντα VMware (CVE-2020-4006) χαρακτηρίστηκε αρχικά “κρίσιμη”, αλλά η εταιρεία λογισμικού μείωσε τη σοβαρότητά της σε “σημαντική” μετά την κυκλοφορία μιας ενημερωμένης έκδοσης, όπου είπε ότι για να γίνει εκμετάλλευση χρειάζεται ένας “έγκυρος κωδικός πρόσβασης για το configurator admin account”, τον οποίο θα πρέπει να γνωρίζει από πριν ο εγκληματίας.

Τα προϊόντα VMware που επηρεάζονται από αυτή τη zero-day ευπάθεια, είναι:

  • VMware Workspace One Access 20.01, 20.10 (Linux)
  • VMware Identity Manager (vIDM) 3.3.1 έως 3.3.3 (Linux)
  • VMware Identity Manager Connector (vIDM Connector) 3.3.1, 3.3.2 (Linux)
  • VMware Identity Manager Connector (vIDM Connector) 3.3.1, 3.3.2, 3.3.3 / 19.03.0.0, 19.03.0.1 (Windows)
  • VMware Cloud Foundation 6 4.x
  • VMware vRealize Suite Lifecycle Manager 7 8.x

Οι διαχειριστές που δεν μπορούν να αναπτύξουν άμεσα την ενημερωμένη έκδοση, μπορούν να χρησιμοποιήσουν μια προσωρινή λύση για την αποτροπή επιθέσεων που εκμεταλλεύονται την ευπάθεια CVE-2020-4006. Πληροφορίες σχετικά με αυτή τη λύση σε Windows και Linux μπορείτε να βρείτε εδώ.

Αυτός ο τρόπος αντιμετώπισης θα πρέπει να είναι μόνο μια προσωρινή επιδιόρθωση έως ότου ενημερωθεί πλήρως το σύστημα“, δήλωσε η NSA.

VMware ευπάθεια
NSA: Ρώσοι hackers χρησιμοποιούν VMware ευπάθεια και κλέβουν δεδομένα

Η εκμετάλλευση επιτρέπει την ανάπτυξη web shell και την κλοπή δεδομένων

Σε επιθέσεις που εντόπισε η NSA, παρατήρησε ότι οι εγκληματίες συνδέονταν στο web-based management interface των συσκευών που εκτελούν ευάλωτα προϊόντα VMware και αποκτούσαν πρόσβαση σε δίκτυα οργανισμών για την εγκατάσταση web shells μέσω command injection.

Μετά την ανάπτυξη web shells, οι επιτιθέμενοι κλέβουν ευαίσθητα δεδομένα χρησιμοποιώντας SAML credentials για να αποκτήσουν πρόσβαση σε Microsoft Active Directory Federation Services (ADFS) servers.

Η ανίχνευση αυτών των επιθέσεων δεν είναι εύκολη. Η κακόβουλη δραστηριότητα πραγματοποιείται μετά τη σύνδεση στο web management interface μέσω TLS encrypted tunnels.

Ωστόσο, τα ‘exit’ statements ακολουθούμενα από τρία ψηφία όπως “exit 123” που βρίσκονται σε /opt/vmware/horizon/workspace/logs/configurator.log on servers αποτελούν ένδειξη για προσπάθεια εκμετάλλευσης μιας συσκευής.

Επίσης, ενδέχεται να υπάρχουν και άλλες εντολές μαζί με κωδικοποιημένα scripts. Εάν εντοπιστεί κάτι τέτοιο, πρέπει να γίνει έρευνα“, πρόσθεσε η NSA. “Συνιστάται πρόσθετη ανάλυση του server, ειδικά για web shell malware“.

VMware ευπάθεια
NSA: Ρώσοι hackers χρησιμοποιούν VMware ευπάθεια και κλέβουν δεδομένα

Μείωση του κινδύνου επιτυχημένων επιθέσεων

Όπως είπαμε και παραπάνω, για να γίνει εκμετάλλευση της ευπάθειας, ο επιτιθέμενος πρέπει να γνωρίζει τον κωδικό πρόσβασης. Επομένως, η χρήση ενός ισχυρού και μοναδικού κωδικού είναι απαραίτητη.

Επιπλέον, ο περιορισμός της πρόσβασης στο web-based management interface για τα ευάλωτα VMware προϊόντα μειώνει περαιτέρω τον κίνδυνο επιτυχούς επίθεσης.

Σύμφωνα με την NSA, με την παραμικρή υποψία παραβίασης, πρέπει να γίνεται έρευνα για σημάδια εκμετάλλευσης. Επίσης, πρέπει να εφαρμόζεται έλεγχος ταυτότητας πολλαπλών παραγόντων.

Η NSA δεν ονόμασε τη ρωσική APT ομάδα που εκμεταλλεύεται την ευπάθεια Vmware. Ωστόσο, τους τελευταίους μήνες, υπάρχει μια ομάδα που στοχεύει συστηματικά τα δίκτυα κυβερνητικών οργανισμών των ΗΠΑ.

Το FBI και η DHS-CISA είχαν αναφέρει τον Οκτώβριο ότι η ρωσική κρατική ομάδα Energetic Bear είχε παραβιάσει και κλέψει δεδομένα από κυβερνητικά δίκτυα των ΗΠΑ.

Πηγή: Bleeping Computer

ΑΦΗΣΤΕ ΜΙΑ ΑΠΑΝΤΗΣΗ

Please enter your comment!
Please enter your name here

Digital Fortress
Digital Fortresshttps://www.secnews.gr
Pursue Your Dreams & Live!

LIVE NEWS

Πώς θα προσθέσετε ειδικά εφέ στα μηνύματα του Instagram

Γνωρίζατε ότι μπορείτε να κάνετε τα άμεσα μηνύματα του Instagram πιο εντυπωσιακά; Όπως κάθε άλλη δυνατότητα του Instagram, μπορείτε να προσθέσετε ειδικά...

Μόνο 270 διευθύνσεις είναι υπεύθυνες για το 55% του συνόλου της νομιμοποίησης εσόδων από παράνομες δραστηριότητες

Οι κυβερνοεγκληματίες που διατηρούν τα χρήματά τους σε κρυπτονομίσματα τείνουν να «ξεπλένουν» χρήματα μέσω ενός μικρού συνόλου διαδικτυακών υπηρεσιών, σύμφωνα με την...

Twitter: Έρχονται τα φωνητικά μηνύματα! Πώς θα τα στέλνουμε;

Το Twitter θα υποστηρίζει σύντομα φωνητικά μηνύματα τόσο στην iOS όσο και στην Android εφαρμογή. Αυτό σημαίνει ότι θα μπορείτε να στέλνετε...

Πως να συνδέσετε ακουστικά Bluetooth σε ένα Nintendo Switch

Το Nintendo Switch διαθέτει υποδοχή ακουστικών. Ωστόσο, τα περισσότερα ακουστικά έχουν γίνει ασύρματα οπότε θα χρειαστείτε έναν τρόπο για να συνδέσετε αυτά...

Πώς να αποκρύψετε τον αριθμό τηλεφώνου σας στο Telegram

Εάν επιθυμείτε να δημιουργήσετε ένα λογαριασμό Telegram, πρέπει να δώσετε τον αριθμό τηλεφώνου σας. Με αυτό τον τρόπο, το Telegram επικυρώνει την...

Google Assistant: Πώς μπορείτε να διαγράψετε τις ηχογραφήσεις σας;

Το Google Assistant μπορεί να σας διευκολύνει πολύ στην καθημερινότητά σας. Ωστόσο, συνεπάγεται και κάποια ζητήματα ως προς το απόρρητο, καθώς όσα...

Microsoft: Office 2021 / Office LTSC έρχονται το δεύτερο εξάμηνο του 2021

Η Microsoft ανακοίνωσε ότι θα κυκλοφορήσει μέσα στο 2021 το Microsoft Office Long Term Servicing Channel (LTSC) και το Office 2021, για...

Πώς να δημιουργήσετε με γρήγορο τρόπο QR codes με το Bing

Αν χρειαστεί ποτέ να δημιουργήσετε έναν QR code, αλλά δεν ξέρετε πως, η Microsoft διαθέτει ένα εύχρηστο εργαλείο διαθέσιμο σε οποιοδήποτε πρόγραμμα...

Brave: Διέρρευσαν διευθύνσεις onion σε DNS traffic

Η λειτουργία Tor που περιλαμβάνεται στον Brave web browser, επιτρέπει στους χρήστες να έχουν πρόσβαση σε .onion dark web domains μέσα σε...

Ποιες είναι οι 6 πιο γνωστές επιθέσεις σε gaming εταιρείες;

Πριν μερικές ημέρες, η εταιρεία gaming Big Huge Games ενημέρωσε τους παίκτες ότι υπήρξε θύμα μιας επίθεσης, η οποία επηρέασε δεδομένα της...