A NSA alerta que invasores patrocinados pelo estado russo estão explorando uma vulnerabilidade grave do VMware. Este é o segundo alerta da NSA relacionado a atividades patrocinadas pelo estado russo em 2020. Uma análise de Satnam Narang, engenheiro de pesquisa da equipe da Tenable, resposta de segurança.
A vulnerabilidade foi relatada à VMware pela NSA, que divulgou detalhes em um comunicado de segurança, VMSA-23-2020, em 0027.2 de novembro. Nenhum patch estava disponível no momento, embora a VMware tenha fornecido várias correções.
A análise
CVE-2020-4006 é uma vulnerabilidade de injeção de comando no componente do configurador administrativo em determinadas versões de produtos VMware. Os produtos afetados incluem:
- VMware Workspace One Access (Acesso)
- Conector VMware Workspace One Access
- Gerenciador de identidade VMware (vIDM)
- Conector do VMware Identity Manager (conector vIDM)
- VMware Cloud Foundation
- Gerenciador de ciclo de vida do vRealize Suite
Dois pré-requisitos são necessários para explorar a vulnerabilidade do VMware:
- Primeiro, um invasor precisaria configurar o acesso à rede para se conectar ao componente configurador, que normalmente é acessível pela porta 8443
- Em segundo lugar, um invasor deve ter credenciais de administrador válidas para fazer login no configurador
Embora esses requisitos possam parecer obstáculos para uma possível exploração, a NSA informou que atores patrocinados pelo estado russo exploraram com sucesso essa vulnerabilidade no estado selvagem.
Acesso a Dados Protegidos
De acordo com a avaliação da NSA, os agentes de ameaças patrocinados pelo estado russo usaram essa vulnerabilidade para instalar um shell da web, um script malicioso que pode ser usado para permitir a administração remota em sistemas vulneráveis. Esse acesso permite que os agentes de ameaças acessem ainda mais os dados protegidos, enviando falsas declarações de autenticação Security Assertion Markup Language (SAML) para o Microsoft Active Directory Federation Services (ADFS). A análise completa, incluindo as evidências, pode ser encontrada na postagem do blog em inglês.
Saiba mais em Tenable.com
Sobre a Tenable A Tenable é uma empresa de Cyber Exposure. Mais de 24.000 empresas em todo o mundo confiam na Tenable para entender e reduzir o risco cibernético. Os inventores do Nessus combinaram sua experiência em vulnerabilidade no Tenable.io, oferecendo a primeira plataforma do setor que fornece visibilidade em tempo real e protege qualquer ativo em qualquer plataforma de computação. A base de clientes da Tenable inclui 53% da Fortune 500, 29% da Global 2000 e grandes agências governamentais.