Агентство национальной безопасности (АНБ) предупреждает, что спонсируемые государством российские злоумышленники используют недавно исправленную уязвимость VMware для кражи конфиденциальной информации после развертывания веб-шеллов на уязвимых серверах.
«АНБ призывает администраторов сети Национальной системы безопасности (NSS), Министерства обороны (DoD) и оборонной промышленной базы (DIB) уделять приоритетное внимание устранению уязвимости на уязвимых серверах», - заявили в разведывательном агентстве Министерства обороны США.
На просьбу предоставить дополнительную информацию о целях, скомпрометированных в этих атаках, АНБ заявило BleepingComputer, что «не раскрывает подробностей о жертвах злонамеренной киберактивности из-за рубежа».
«Любая организация, использующая уязвимые продукты, должна незамедлительно применить исправление, выпущенное поставщиком», - настаивает АНБ.
АНБ также воздержалось от предоставления дополнительной информации о дате начала этих атак, заявив, что «[мы] не предоставляем конкретных сведений об источнике какой-либо конкретной информации, чтобы мы могли продолжать выполнять нашу жизненно важную роль для страны, включая развитие и распространение технических рекомендаций, подобных этому отчету".
Доступны обновления безопасности и обходные пути
VMware выпустила обновления безопасности для устранения ошибки безопасности 3 декабря после публичного раскрытия уязвимости две недели назад и предоставления временного обходного пути, который полностью удаляет вектор атаки и предотвращает эксплуатацию.
CVE-2020-4006 изначально была оценена как уязвимость с критической степенью серьезности, но VMware снизила ее максимальную степень серьезности до «Важно» после выпуска исправления и совместного использования этой уязвимости, требующей «действительного пароля для учетной записи администратора конфигуратора».
«Эта учетная запись является внутренней для затронутых продуктов, и пароль устанавливается во время развертывания. Злоумышленник должен обладать этим паролем, чтобы попытаться использовать CVE-2020-4006», - поясняет VMware.
Полный список версий продуктов VMware, на которые распространяется действие нулевого дня, включает:
Администраторы, которые не могут немедленно развернуть исправление, могут использовать временный обходной путь для предотвращения эксплуатации CVE-2020-4006. Информация о том, как реализовать и отменить обходной путь на серверах Linux и Windows, доступна ЗДЕСЬ.
«Этот обходной путь должен быть временным, пока система не будет полностью исправлена», - заявили в АНБ. «Кроме того, изучите и укрепите конфигурации и мониторинг поставщиков федеративной аутентификации».
Эксплуатация позволяет развертывать веб-оболочку и кражу данных
В ходе атак с использованием CVE-2020-4006 АНБ наблюдало, как злоумышленники подключались к открытому веб-интерфейсу управления устройствами, на которых запущены уязвимые продукты VMware, и проникали в сети организаций для установки веб-шеллов с помощью внедрения команд.
После развертывания веб-оболочек злоумышленники крадут конфиденциальные данные, используя учетные данные SAML, чтобы получить доступ к серверам Microsoft Active Directory Federation Services (ADFS).
Успешная эксплуатация уязвимости, обозначенной как CVE-2020-4006, также позволяет злоумышленникам выполнять команды Linux на скомпрометированных устройствах, что может помочь им добиться устойчивости.
«При использовании продуктов, выполняющих аутентификацию, критически важно, чтобы сервер и все сервисы, которые от него зависели, были правильно настроены для безопасной работы и интеграции», - поясняет АНБ.
«В противном случае утверждения SAML могут быть сфальсифицированы, предоставляя доступ к многочисленным ресурсам. При интеграции серверов аутентификации с ADFS NSA рекомендует следовать передовым методам Microsoft, особенно для защиты утверждений SAML и требования многофакторной аутентификации ».
Обнаружить эти атаки с помощью сетевых индикаторов невозможно, так как вредоносная деятельность осуществляется после подключения к веб-интерфейсу управления через зашифрованные туннели TLS.
Однако операторы «exit», за которыми следуют трехзначные числа, например «exit 123», найденные в /opt/vmware/horizon/workspace/logs/configurator.log на серверах, указывают на то, что на устройстве могли иметь место действия по эксплуатации.
«Могут присутствовать и другие команды вместе с закодированными сценариями. Если такие журналы обнаружены, следует предпринять действия по реагированию на инциденты», - добавило АНБ. « Рекомендуется дополнительное исследование сервера, особенно на предмет вредоносных программ веб-оболочки».
Снижение риска успешных атак
Риск безопасности этой уязвимости снижается за счет того, что этот пароль должен быть установлен во время развертывания - выбор уникального и надежного пароля настоятельно рекомендуется
Ограничение доступа к веб-интерфейсу управления для затронутых продуктов дополнительно снижает риск успешной атаки.
Агентство рекомендует в сообщении [PDF], что «сетевые администраторы NSS, DoD и DIB ограничивают доступность интерфейса управления на серверах только небольшим набором известных систем и блокируют прямой доступ в Интернет».
При подозрении на компрометацию АНБ рекомендует проверять журналы сервера на наличие признаков эксплуатации, проверять и обновлять конфигурации служб аутентификации и внедрять многофакторную аутентификацию для служб учетных данных безопасности.
Не указывая пальцами
АНБ не назвало поддерживаемую Россией группу APT, использующую уязвимость внедрения команд VMware в текущих атаках.
Однако, по крайней мере, одна такая хакерская группа активно атакует сети государственных, местных, территориальных и племенных (SLTT) государственных организаций США в течение последних нескольких месяцев.
ФБР и DHS-CISA заявили в совместном сообщении, опубликованном в октябре, что спонсируемая государством российская хакерская группа Energetic Bear взломала и похитила данные из правительственных сетей США, начиная с сентября 2020 года.
DHS-CISA предоставляет более подробную информацию об исторической вредоносной кибер-активности в России, направленной на организации США (отслеживается как GRIZZLY STEPPE).
«АНБ призывает администраторов сети Национальной системы безопасности (NSS), Министерства обороны (DoD) и оборонной промышленной базы (DIB) уделять приоритетное внимание устранению уязвимости на уязвимых серверах», - заявили в разведывательном агентстве Министерства обороны США.
На просьбу предоставить дополнительную информацию о целях, скомпрометированных в этих атаках, АНБ заявило BleepingComputer, что «не раскрывает подробностей о жертвах злонамеренной киберактивности из-за рубежа».
«Любая организация, использующая уязвимые продукты, должна незамедлительно применить исправление, выпущенное поставщиком», - настаивает АНБ.
АНБ также воздержалось от предоставления дополнительной информации о дате начала этих атак, заявив, что «[мы] не предоставляем конкретных сведений об источнике какой-либо конкретной информации, чтобы мы могли продолжать выполнять нашу жизненно важную роль для страны, включая развитие и распространение технических рекомендаций, подобных этому отчету".
Доступны обновления безопасности и обходные пути
VMware выпустила обновления безопасности для устранения ошибки безопасности 3 декабря после публичного раскрытия уязвимости две недели назад и предоставления временного обходного пути, который полностью удаляет вектор атаки и предотвращает эксплуатацию.
CVE-2020-4006 изначально была оценена как уязвимость с критической степенью серьезности, но VMware снизила ее максимальную степень серьезности до «Важно» после выпуска исправления и совместного использования этой уязвимости, требующей «действительного пароля для учетной записи администратора конфигуратора».
«Эта учетная запись является внутренней для затронутых продуктов, и пароль устанавливается во время развертывания. Злоумышленник должен обладать этим паролем, чтобы попытаться использовать CVE-2020-4006», - поясняет VMware.
Полный список версий продуктов VMware, на которые распространяется действие нулевого дня, включает:
- VMware Workspace One Access 20.01, 20.10 (Linux)
- VMware Identity Manager (vIDM) от 3.3.1 до 3.3.3 (Linux)
- Коннектор VMware Identity Manager (коннектор vIDM) 3.3.1, 3.3.2 (Linux)
- Коннектор VMware Identity Manager (коннектор vIDM) 3.3.1, 3.3.2, 3.3.3 / 19.03.0.0, 19.03.0.1 (Windows)
- VMware Cloud Foundation 6 4.x
- VMware vRealize Suite Lifecycle Manager 7 8.x
Администраторы, которые не могут немедленно развернуть исправление, могут использовать временный обходной путь для предотвращения эксплуатации CVE-2020-4006. Информация о том, как реализовать и отменить обходной путь на серверах Linux и Windows, доступна ЗДЕСЬ.
«Этот обходной путь должен быть временным, пока система не будет полностью исправлена», - заявили в АНБ. «Кроме того, изучите и укрепите конфигурации и мониторинг поставщиков федеративной аутентификации».
Эксплуатация позволяет развертывать веб-оболочку и кражу данных
В ходе атак с использованием CVE-2020-4006 АНБ наблюдало, как злоумышленники подключались к открытому веб-интерфейсу управления устройствами, на которых запущены уязвимые продукты VMware, и проникали в сети организаций для установки веб-шеллов с помощью внедрения команд.
После развертывания веб-оболочек злоумышленники крадут конфиденциальные данные, используя учетные данные SAML, чтобы получить доступ к серверам Microsoft Active Directory Federation Services (ADFS).
Успешная эксплуатация уязвимости, обозначенной как CVE-2020-4006, также позволяет злоумышленникам выполнять команды Linux на скомпрометированных устройствах, что может помочь им добиться устойчивости.
«При использовании продуктов, выполняющих аутентификацию, критически важно, чтобы сервер и все сервисы, которые от него зависели, были правильно настроены для безопасной работы и интеграции», - поясняет АНБ.
«В противном случае утверждения SAML могут быть сфальсифицированы, предоставляя доступ к многочисленным ресурсам. При интеграции серверов аутентификации с ADFS NSA рекомендует следовать передовым методам Microsoft, особенно для защиты утверждений SAML и требования многофакторной аутентификации ».
Обнаружить эти атаки с помощью сетевых индикаторов невозможно, так как вредоносная деятельность осуществляется после подключения к веб-интерфейсу управления через зашифрованные туннели TLS.
Однако операторы «exit», за которыми следуют трехзначные числа, например «exit 123», найденные в /opt/vmware/horizon/workspace/logs/configurator.log на серверах, указывают на то, что на устройстве могли иметь место действия по эксплуатации.
«Могут присутствовать и другие команды вместе с закодированными сценариями. Если такие журналы обнаружены, следует предпринять действия по реагированию на инциденты», - добавило АНБ. « Рекомендуется дополнительное исследование сервера, особенно на предмет вредоносных программ веб-оболочки».
Снижение риска успешных атак
Риск безопасности этой уязвимости снижается за счет того, что этот пароль должен быть установлен во время развертывания - выбор уникального и надежного пароля настоятельно рекомендуется
Ограничение доступа к веб-интерфейсу управления для затронутых продуктов дополнительно снижает риск успешной атаки.
Агентство рекомендует в сообщении [PDF], что «сетевые администраторы NSS, DoD и DIB ограничивают доступность интерфейса управления на серверах только небольшим набором известных систем и блокируют прямой доступ в Интернет».
При подозрении на компрометацию АНБ рекомендует проверять журналы сервера на наличие признаков эксплуатации, проверять и обновлять конфигурации служб аутентификации и внедрять многофакторную аутентификацию для служб учетных данных безопасности.
Не указывая пальцами
АНБ не назвало поддерживаемую Россией группу APT, использующую уязвимость внедрения команд VMware в текущих атаках.
Однако, по крайней мере, одна такая хакерская группа активно атакует сети государственных, местных, территориальных и племенных (SLTT) государственных организаций США в течение последних нескольких месяцев.
ФБР и DHS-CISA заявили в совместном сообщении, опубликованном в октябре, что спонсируемая государством российская хакерская группа Energetic Bear взломала и похитила данные из правительственных сетей США, начиная с сентября 2020 года.
DHS-CISA предоставляет более подробную информацию об исторической вредоносной кибер-активности в России, направленной на организации США (отслеживается как GRIZZLY STEPPE).
