АНБ попереджає, що російські державні зловмисники використовують серйозну вразливість VMware. Це друге попередження АНБ, пов’язане з діяльністю, спонсорованою російською державою, у 2020 році. Аналіз Сатнама Наранга, штатного інженера-дослідника Tenable, Security Response.
Про вразливість VMware повідомило АНБ, яке 23 листопада опублікувало подробиці в пораді з безпеки VMSA-2020-0027.2. Наразі не було доступних виправлень, хоча VMware надала ряд виправлень.
Аналіз
CVE-2020-4006 є вразливістю впровадження команд у компонент адміністративного конфігуратора в певних версіях продуктів VMware. Уражені продукти включають:
- VMware Workspace One Access (Доступ)
- VMware Workspace One Access Connector
- VMware Identity Manager (vIDM)
- Конектор VMware Identity Manager (конектор vIDM)
- VMware Cloud Foundation
- vRealize Suite Lifecycle Manager
Для використання вразливості VMware необхідні дві передумови:
- По-перше, зловмисник повинен налаштувати доступ до мережі для підключення до компонента конфігуратора, який зазвичай доступний через порт 8443
- По-друге, для входу в конфігуратор зловмисник повинен мати дійсні облікові дані адміністратора
Хоча ці вимоги можуть здатися перешкодами для потенційної експлуатації, АНБ повідомило, що російські державні актори успішно використали цю вразливість у дикій природі.
Доступ до захищених даних
Згідно з оцінкою АНБ, російські державні суб’єкти загроз використовували цю вразливість для встановлення веб-оболонки, шкідливого сценарію, який можна було використовувати для забезпечення віддаленого адміністрування на вразливих системах. Цей доступ дозволяє суб’єктам загроз додатково отримувати доступ до захищених даних, надсилаючи фальшиві твердження автентифікації на мові розмітки твердження безпеки (SAML) до служб Microsoft Active Directory Federation Services (ADFS). Повний аналіз, включаючи докази, можна знайти в блозі англійською мовою.
Дізнайтесь більше на Tenable.com
Про Tenable Tenable є компанією Cyber Exposure. Понад 24.000 53 компаній у всьому світі довіряють Tenable розуміти та зменшувати кіберризики. Винахідники Nessus об’єднали свої знання з уразливостей у Tenable.io, створивши першу в галузі платформу, яка забезпечує видимість у реальному часі та захищає будь-які активи на будь-якій обчислювальній платформі. Клієнтська база Tenable включає 500 відсотки Fortune 29, 2000 відсотків Global XNUMX і великі державні установи.