Η Εθνική Υπηρεσία Ασφάλειας (NSA) προειδοποιεί ότι κρατικοί hackers της Ρωσίας εκμεταλλεύονται μια πρόσφατα διορθωμένη ευπάθεια σε VMware προϊόντα για κλοπή ευαίσθητων πληροφοριών (αφού πρώτα γίνει ανάπτυξη web shells σε ευάλωτους servers).
“Η NSA ενθαρρύνει τους διαχειριστές δικτύων του Εθνικού Συστήματος Ασφαλείας (NSS), του Υπουργείου Άμυνας (DoD) και άλλων παρόμοιων υπηρεσιών να δώσουν προτεραιότητα στον μετριασμό της ευπάθειας στους servers“, ανέφερε η υπηρεσία πληροφοριών του Υπουργείου Άμυνας των ΗΠΑ.
Η NSA δεν έδωσε πληροφορίες για τα θύματα των επιθέσεων που εκμεταλλεύονται την ευπάθεια.
“Οποιοσδήποτε οργανισμός χρησιμοποιεί τα ευάλωτα προϊόντα Vmware θα πρέπει να λάβει άμεσα μέτρα για να εφαρμόσει την ενημερωμένη έκδοση κώδικα που κυκλοφόρησε ο προμηθευτής“, είπε η NSA.
Google Cloud: Το MFA θα γίνει υποχρεωτικό
Παράξενες Πράσινες Κοιλίδες στα Πετρώματα του Άρη
Πρώτος Ξύλινος Δορυφόρος: Eπανάσταση στο Διαστημικό Τομέα
Διαθέσιμες ενημερώσεις ασφαλείας
Η VMware κυκλοφόρησε ενημερώσεις ασφαλείας στις 3 Δεκεμβρίου για να διορθώσει την ευπάθεια. Το σφάλμα είχε αποκαλυφθεί δημόσια περίπου δύο εβδομάδες πριν τις ενημερώσεις.
Η ευπάθεια σε προϊόντα VMware (CVE-2020-4006) χαρακτηρίστηκε αρχικά “κρίσιμη”, αλλά η εταιρεία λογισμικού μείωσε τη σοβαρότητά της σε “σημαντική” μετά την κυκλοφορία μιας ενημερωμένης έκδοσης, όπου είπε ότι για να γίνει εκμετάλλευση χρειάζεται ένας “έγκυρος κωδικός πρόσβασης για το configurator admin account”, τον οποίο θα πρέπει να γνωρίζει από πριν ο εγκληματίας.
Τα προϊόντα VMware που επηρεάζονται από αυτή τη zero-day ευπάθεια, είναι:
- VMware Workspace One Access 20.01, 20.10 (Linux)
- VMware Identity Manager (vIDM) 3.3.1 έως 3.3.3 (Linux)
- VMware Identity Manager Connector (vIDM Connector) 3.3.1, 3.3.2 (Linux)
- VMware Identity Manager Connector (vIDM Connector) 3.3.1, 3.3.2, 3.3.3 / 19.03.0.0, 19.03.0.1 (Windows)
- VMware Cloud Foundation 6 4.x
- VMware vRealize Suite Lifecycle Manager 7 8.x
Οι διαχειριστές που δεν μπορούν να αναπτύξουν άμεσα την ενημερωμένη έκδοση, μπορούν να χρησιμοποιήσουν μια προσωρινή λύση για την αποτροπή επιθέσεων που εκμεταλλεύονται την ευπάθεια CVE-2020-4006. Πληροφορίες σχετικά με αυτή τη λύση σε Windows και Linux μπορείτε να βρείτε εδώ.
“Αυτός ο τρόπος αντιμετώπισης θα πρέπει να είναι μόνο μια προσωρινή επιδιόρθωση έως ότου ενημερωθεί πλήρως το σύστημα“, δήλωσε η NSA.
Η εκμετάλλευση επιτρέπει την ανάπτυξη web shell και την κλοπή δεδομένων
Σε επιθέσεις που εντόπισε η NSA, παρατήρησε ότι οι εγκληματίες συνδέονταν στο web-based management interface των συσκευών που εκτελούν ευάλωτα προϊόντα VMware και αποκτούσαν πρόσβαση σε δίκτυα οργανισμών για την εγκατάσταση web shells μέσω command injection.
Μετά την ανάπτυξη web shells, οι επιτιθέμενοι κλέβουν ευαίσθητα δεδομένα χρησιμοποιώντας SAML credentials για να αποκτήσουν πρόσβαση σε Microsoft Active Directory Federation Services (ADFS) servers.
Η ανίχνευση αυτών των επιθέσεων δεν είναι εύκολη. Η κακόβουλη δραστηριότητα πραγματοποιείται μετά τη σύνδεση στο web management interface μέσω TLS encrypted tunnels.
Ωστόσο, τα ‘exit’ statements ακολουθούμενα από τρία ψηφία όπως “exit 123” που βρίσκονται σε /opt/vmware/horizon/workspace/logs/configurator.log on servers αποτελούν ένδειξη για προσπάθεια εκμετάλλευσης μιας συσκευής.
“Επίσης, ενδέχεται να υπάρχουν και άλλες εντολές μαζί με κωδικοποιημένα scripts. Εάν εντοπιστεί κάτι τέτοιο, πρέπει να γίνει έρευνα“, πρόσθεσε η NSA. “Συνιστάται πρόσθετη ανάλυση του server, ειδικά για web shell malware“.
Μείωση του κινδύνου επιτυχημένων επιθέσεων
Όπως είπαμε και παραπάνω, για να γίνει εκμετάλλευση της ευπάθειας, ο επιτιθέμενος πρέπει να γνωρίζει τον κωδικό πρόσβασης. Επομένως, η χρήση ενός ισχυρού και μοναδικού κωδικού είναι απαραίτητη.
Επιπλέον, ο περιορισμός της πρόσβασης στο web-based management interface για τα ευάλωτα VMware προϊόντα μειώνει περαιτέρω τον κίνδυνο επιτυχούς επίθεσης.
Σύμφωνα με την NSA, με την παραμικρή υποψία παραβίασης, πρέπει να γίνεται έρευνα για σημάδια εκμετάλλευσης. Επίσης, πρέπει να εφαρμόζεται έλεγχος ταυτότητας πολλαπλών παραγόντων.
Η NSA δεν ονόμασε τη ρωσική APT ομάδα που εκμεταλλεύεται την ευπάθεια Vmware. Ωστόσο, τους τελευταίους μήνες, υπάρχει μια ομάδα που στοχεύει συστηματικά τα δίκτυα κυβερνητικών οργανισμών των ΗΠΑ.
Το FBI και η DHS-CISA είχαν αναφέρει τον Οκτώβριο ότι η ρωσική κρατική ομάδα Energetic Bear είχε παραβιάσει και κλέψει δεδομένα από κυβερνητικά δίκτυα των ΗΠΑ.
Πηγή: Bleeping Computer