Różności i nowinki technologia

NSA twierdzi, że rosyjscy hakerzy państwowi wykorzystują lukę VMware do przeszukiwania sieci

Rosyjska flaga na wietrze.
Powiększać / To zdjęcie było banerem profilowym jednego z kont rzekomo prowadzonych przez Internet Research Agency, organizację, która od 2009 roku prowadziła kampanie wpływów w mediach społecznościowych w Rosji, Niemczech, Ukrainie i USA.

Rosyjski troll

Agencja Bezpieczeństwa Narodowego twierdzi, że rosyjscy hakerzy państwowi narażają wiele systemów VMware podczas ataków, które umożliwiają hakerom instalowanie złośliwego oprogramowania, uzyskiwanie nieautoryzowanego dostępu do wrażliwych danych i utrzymywanie stałego dostępu do powszechnie używanych platform pracy zdalnej.

Trwające ataki wykorzystują błąd bezpieczeństwa, który pozostał nienaprawiony do ostatniego czwartku, poinformowała agencja w poniedziałek. CVE-2020-4006, w miarę śledzenia luki, jest luką polegającą na wstrzykiwaniu poleceń, co oznacza, że ​​umożliwia atakującym wykonywanie wybranych poleceń w systemie operacyjnym, na którym działa podatne oprogramowanie. Te luki są wynikiem kodu, który nie filtruje niebezpiecznych danych wejściowych użytkownika, takich jak nagłówki HTTP lub pliki cookie. VMware załatał CVE-2020-4006 po otrzymaniu informacji od NSA.

Święty Graal hakera

Atakujący z grupy sponsorowanej przez rosyjski rząd wykorzystują tę lukę, aby uzyskać wstępny dostęp do wrażliwych systemów. Następnie przesyłają powłokę sieci Web, która zapewnia trwały interfejs do wykonywania poleceń serwera. Korzystając z interfejsu poleceń, hakerzy mogą w końcu uzyskać dostęp do usługi Active Directory, części systemów operacyjnych Microsoft Windows dla serwerów, którą hakerzy uważają za Świętego Graala, ponieważ umożliwia im tworzenie kont, zmianę haseł i wykonywanie innych wysoce uprzywilejowanych zadań.

„Eksploatacja poprzez wstrzyknięcie poleceń doprowadziła do zainstalowania powłoki internetowej i dalszej złośliwej aktywności, w ramach której wygenerowano poświadczenia w postaci potwierdzeń uwierzytelniania SAML i wysłano je do usług federacyjnych Microsoft Active Directory, które z kolei zapewniły aktorom dostęp do chronionych danych ”Urzędnicy NSA napisali w poniedziałkowym poradniku dotyczącym cyberbezpieczeństwa.

Aby atakujący mógł wykorzystać lukę w oprogramowaniu VMware, muszą najpierw uzyskać uwierzytelniony, oparty na haśle, dostęp do interfejsu zarządzania urządzenia. Interfejs domyślnie działa na porcie internetowym 8443. Hasła należy ustawić ręcznie podczas instalacji oprogramowania, co sugeruje, że administratorzy albo wybierają słabe hasła, albo mogą być naruszane w inny sposób.

„Złośliwy aktor z dostępem sieciowym do konfiguratora administracyjnego na porcie 8443 i ważnym hasłem do konta administratora konfiguratora może wykonywać polecenia z nieograniczonymi uprawnieniami w podstawowym systemie operacyjnym” – powiedział VMware w opublikowanym w czwartek poradniku. „To konto jest wewnętrzne dla produktów, których dotyczy problem, a hasło jest ustawiane podczas wdrażania. Złośliwy aktor musi posiadać to hasło, aby próbować wykorzystać CVE-2020-4006. ”

Aktywne ataki mają miejsce, gdy duża liczba organizacji zainicjowała procedury pracy z domu w odpowiedzi na pandemię COVID-19. Ponieważ wielu pracowników ma zdalny dostęp do poufnych informacji przechowywanych w sieciach korporacyjnych i rządowych, oprogramowanie firmy VMware odgrywa kluczową rolę w zabezpieczeniach zapewniających bezpieczeństwo połączeń.

Luka polegająca na wstrzykiwaniu poleceń dotyczy następujących pięciu platform VMware:

  • VMware Access 3 20.01 i 20.10 w systemie Linux
  • VMware vIDM 5 3.3.1, 3.3.2 i 3.3.3 w systemie Linux
  • Złącze VMware vIDM 3.3.1, 3.3.2, 3.3.3, 19.03
  • VMware Cloud Foundation 6 4.x
  • VMware vRealize Suite Lifecycle Manager 7 8.x

Osoby korzystające z jednego z tych produktów powinny jak najszybciej zainstalować poprawkę VMware. Powinni również przejrzeć hasło używane do zabezpieczenia produktu VMware, aby upewnić się, że jest silne. Zarówno NSA, jak i VMware mają dodatkowe porady dotyczące zabezpieczania systemów, korzystając z powyższych łączy.

Poniedziałkowy poradnik NSA nie wskazał grupy hakerskiej stojącej za atakami, poza stwierdzeniem, że składała się ona z „złośliwych cyberprzestępców sponsorowanych przez Rosję”. W październiku FBI i Agencja ds. Cyberbezpieczeństwa i Infrastruktury ostrzegły, że rosyjscy hakerzy państwowi celują w krytyczną lukę w systemie Windows o nazwie Zerologon. Ta rosyjska grupa hakerska występuje pod wieloma nazwami, w tym Berserk Bear, Energetic Bear, TeamSpy, Dragonfly, Havex, Crouching Yeti i Koala.

Zostaw komentarz

Maciek Luboński
Z wykształcenia jestem kucharzem , ale to nie przeszkadza mi pisać dla Was tekstów z wielu ciekawych dziedzin , których sam jestem fanem.Piszę dużo i często nie na tak jak trzeba , ale co z tego skoro tak naprawdę liczy się pasja.

Najlepsze recenzje

Video

gallery

Facebook