NSA は、ロシア政府が支援する攻撃者が VMware の重大な脆弱性を悪用していると警告しています。 これは、2020 年にロシア政府が後援した活動に関連する XNUMX 番目の NSA アラートです。Tenable のスタッフ リサーチ エンジニア、セキュリティ レスポンスのサトナム ナランによる分析です。
この脆弱性は、23 月 2020 日にセキュリティ アドバイザリ VMSA-0027.2-XNUMX で詳細をリリースした NSA によって VMware に報告されました。 VMware は多くの修正を提供しましたが、現時点では利用可能なパッチはありません。
解析
CVE-2020-4006 は、VMware 製品の特定のバージョンの管理コンフィギュレータ コンポーネントにおけるコマンド インジェクションの脆弱性です。 影響を受ける製品は次のとおりです。
- VMware Workspace One Access (アクセス)
- VMware Workspace One Access コネクタ
- VMware アイデンティティ マネージャー (vIDM)
- VMware Identity Manager コネクタ (vIDM コネクタ)
- ヴイエムウェア クラウド ファウンデーション
- vRealize Suite ライフサイクル マネージャー
VMware の脆弱性を悪用するには、次の XNUMX つの前提条件が必要です。
- まず、攻撃者はネットワーク アクセスを設定してコンフィギュレータ コンポーネントに接続する必要があります。これは通常、ポート 8443 経由でアクセスできます。
- 次に、攻撃者はコンフィギュレーターにログインするための有効な管理者資格情報を持っている必要があります
これらの要件は潜在的な悪用に対する障害のように見えるかもしれませんが、NSA は、ロシアの国家支援を受けたアクターがこの脆弱性を実際にゼロデイ悪用したことを報告しています。
保護されたデータへのアクセス
NSA の評価によると、ロシア政府が支援する攻撃者がこの脆弱性を利用して、リモート管理を可能にする悪意のあるスクリプトである Web シェルを脆弱なシステムにインストールしました。 このアクセスにより、攻撃者は偽の Security Assertion Markup Language (SAML) 認証アサーションを Microsoft Active Directory フェデレーション サービス (ADFS) に送信することで、保護されたデータにさらにアクセスできます。 証拠を含む完全な分析は、英語のブログ投稿で見つけることができます。
詳細については Tenable.com をご覧ください
テナブルについて Tenable は Cyber Exposure の会社です。 世界中の 24.000 を超える企業が Tenable を信頼してサイバーリスクを理解し、軽減しています。 Nessus の発明者は脆弱性の専門知識を Tenable.io に結集し、あらゆるコンピューティング プラットフォーム上のあらゆる資産をリアルタイムで可視化し、保護する業界初のプラットフォームを提供します。 Tenable の顧客ベースには、Fortune 53 の 500%、Global 29 の 2000%、および大規模な政府機関が含まれます。