Carder
Professional
- Messages
- 2,616
- Reaction score
- 2,025
- Points
- 113
Агентства по кибербезопасности правительства США предупредили на этой неделе, что злоумышленники, стоящие за повсеместной хакерской атакой, возникшей в результате взлома компании SolarWinds, занимающейся сетевым программным обеспечением, использовали слабые места в других продуктах, не относящихся к SolarWinds, для атаки на особо ценные цели. Согласно источникам, среди них был недостаток в платформе виртуализации программного обеспечения VMware , которую Агентство национальной безопасности США (АНБ) 7 декабря предупредило, что она используется российскими хакерами для выдачи себя за авторизованных пользователей в сетях жертв.
7 декабря 2020 года АНБ заявило, что «спонсируемые государством злоумышленники в киберпространстве используют уязвимость в продуктах VMware Access и VMware Identity Manager , позволяя им получить доступ к защищенным данным и злоупотребляя федеративной аутентификацией».
VMware выпустила обновление программного обеспечения, чтобы закрыть брешь в безопасности (CVE-2020-4006) 3 декабря, и сообщила, что узнала об уязвимости от АНБ.
NSA консультативный (PDF) пришли менее чем за 24 часа до ответа кибер инцидента фирмы FireEye сказал он обнаружил , злоумышленники проникли в его сети и украдено более 300 специализированных программных средств компании разработаны , чтобы помочь клиентам обезопасить свои сети.
13 декабря FireEye сообщила, что инцидент стал результатом компрометации SolarWinds, в ходе которой вредоносный код был тайно вставлен в обновления, поставляемые SolarWinds для пользователей ее программного обеспечения для управления сетью Orion еще в марте 2020 года.
В своем сообщении об уязвимости VMware АНБ призвало исправить ее «как можно скорее», в частности, призвав Систему национальной безопасности, Министерство обороны и оборонных подрядчиков сделать это первоочередной задачей.
Агентство национальной безопасности заявило, что для использования этой конкретной уязвимости хакерам уже потребуется доступ к интерфейсу управления уязвимого устройства VMware, т.е. они должны быть во внутренней сети цели (при условии, что уязвимый интерфейс VMware не был доступен из Интернет). Однако компромисс SolarWinds обеспечил бы такой внутренний доступ.
В ответ на вопросы KrebsOnSecurity компания VMware заявила, что «не получала никаких уведомлений или указаний на то, что CVE 2020-4006 использовался вместе с компромиссом в цепочке поставок SolarWinds».
VMware добавила, что, хотя в некоторых из ее собственных сетей используется уязвимое программное обеспечение SolarWinds Orion, расследование пока не выявило никаких доказательств эксплуатации.
«Хотя мы выявили ограниченные экземпляры уязвимого программного обеспечения SolarWinds Orion в нашей среде, наше собственное внутреннее расследование не выявило никаких признаков эксплуатации», - говорится в заявлении компании. «Это также было подтверждено собственными исследованиями SolarWinds на сегодняшний день».
17 декабря агентство DHS по кибербезопасности и безопасности инфраструктуры (CISA) выпустило отрезвляющее предупреждение об атаке SolarWinds, отметив, что у CISA есть доказательства наличия дополнительных векторов доступа помимо платформы SolarWinds Orion.
В сообщении CISA особо отмечается, что «одним из основных способов достижения злоумышленником этой цели является компрометация сертификата подписи языка разметки утверждений безопасности (SAML) с использованием своих расширенных привилегий Active Directory. Как только это будет выполнено, злоумышленник создает неавторизованные, но действительные токены и представляет их службам, которые доверяют токенам SAML из среды. Затем эти токены можно использовать для доступа к ресурсам в размещенных средах, например к электронной почте, для кражи данных через авторизованные интерфейсы прикладного программирования (API).
Действительно, в сообщении АНБ от 7 декабря говорится, что хакерская деятельность, связанная с уязвимостью VMware, «привела к установке веб-оболочки и последующей злонамеренной активности, при которой учетные данные в форме утверждений аутентификации SAML были созданы и отправлены в Microsoft Active Directory. Службы федерации (ADFS), которые, в свою очередь, предоставили участникам доступ к защищенным данным ».
Также 17 декабря АНБ выпустило гораздо более подробные рекомендации, в которых объясняется, как оно увидело использование уязвимости VMware для подделки токенов SAML, на этот раз конкретно со ссылкой на взлом SolarWinds.
Отвечая на вопрос о возможном подключении, АНБ заявило только, что «если злоумышленники получат первоначальный доступ к сетям через взлом SolarWinds, ТТП [тактика, методы и процедуры], указанные в нашей рекомендации от 17 декабря, могут быть использованы для подделки учетных данных и поддержания постоянной доступ ».
«Наше руководство в этом информационном сообщении помогает обнаружить и смягчить последствия этого, независимо от метода первоначального доступа», - заявили в АНБ.
Анализ CISA показал, что мошенники, стоящие за вторжением SolarWinds, были в значительной степени сосредоточены на выдаче себя за доверенный персонал в целевых сетях и что они разработали умные способы обхода систем многофакторной аутентификации (MFA), защищающих сети, на которые они нацелены.
Бюллетень ссылается на исследование, опубликованное ранее на этой неделе охранной фирмой Volexity , в котором описывается встреча с теми же злоумышленниками, использующими новую технику для обхода защиты MFA, предоставляемой Duo для пользователей Microsoft Outlook Web App (OWA).
Cisco Systems Inc. , материнская компания Duo, ответила, что атака, описанная Volexity, не нацелена на какую-либо конкретную уязвимость в ее продуктах. Как объяснила Ars Technica , обход защиты Duo мог так же легко вовлечь любого из конкурентов Duo.
«Моделирование угроз MFA обычно не включает полную компрометацию системы сервера OWA», - написал Дэн Гудин из Арса . «Уровень доступа, достигнутый хакером, был достаточен, чтобы нейтрализовать практически любую защиту».
Несколько СМИ, в том числе The New York Times и The Washington Post , со ссылкой на анонимные правительственные источники заявили, что группа, стоящая за взломами SolarWinds, известна как APT29 или «Уютный медведь», группа повышенной опасности, которая, как считается, является частью Федеральной службы безопасности России (ФСБ).
SolarWinds заявила, что почти 18 000 клиентов, возможно, получили бэкдор-обновления программного обеспечения Orion. До сих пор были обнародованы только несколько клиентов, которые стали мишенью предполагаемых российских хакеров, стоящих за компрометацией SolarWinds, включая министерства торговли, энергетики и казначейства США, а также DHS.
Несомненно, в ближайшие дни и недели мы услышим о новых жертвах в государственном и частном секторе. Тем временем тысячи организаций сталкиваются с невероятно дорогостоящей, разрушительной и трудоемкой работой по определению того, были ли они скомпрометированы, и если да, то что с этим делать.
В сообщении CISA отмечается, что злоумышленники, стоящие за SolarWinds, компрометируют ключевой персонал компаний-жертв, включая персонал реагирования на киберинциденты и учетные записи электронной почты ИТ-отдела. Предупреждение предлагает организациям, которые подозревают, что они стали жертвами, следует предположить, что их электронная почта и внутренний сетевой трафик скомпрометированы, и полагаться на или создавать внеполосные системы для внутреннего обсуждения того, как они будут действовать для устранения беспорядка.
«Если злоумышленник скомпрометировал учетные данные административного уровня в среде или если организации обнаружат злоупотребление SAML в среде, простое устранение отдельных проблем, систем, серверов или определенных учетных записей пользователей, скорее всего, не приведет к удалению злоумышленника из сети», - сказал CISA. предупреждал. «В таких случаях организации должны рассматривать все хранилище доверенных удостоверений личности как скомпрометированное. В случае полной компрометации идентичности для успешного исправления требуется полное восстановление сервисов идентификации и доверия. В этом воссоздании следует повторить, что этот злоумышленник является одним из наиболее способных, и во многих случаях полное восстановление окружающей среды является самым безопасным действием».
7 декабря 2020 года АНБ заявило, что «спонсируемые государством злоумышленники в киберпространстве используют уязвимость в продуктах VMware Access и VMware Identity Manager , позволяя им получить доступ к защищенным данным и злоупотребляя федеративной аутентификацией».
VMware выпустила обновление программного обеспечения, чтобы закрыть брешь в безопасности (CVE-2020-4006) 3 декабря, и сообщила, что узнала об уязвимости от АНБ.
NSA консультативный (PDF) пришли менее чем за 24 часа до ответа кибер инцидента фирмы FireEye сказал он обнаружил , злоумышленники проникли в его сети и украдено более 300 специализированных программных средств компании разработаны , чтобы помочь клиентам обезопасить свои сети.
13 декабря FireEye сообщила, что инцидент стал результатом компрометации SolarWinds, в ходе которой вредоносный код был тайно вставлен в обновления, поставляемые SolarWinds для пользователей ее программного обеспечения для управления сетью Orion еще в марте 2020 года.
В своем сообщении об уязвимости VMware АНБ призвало исправить ее «как можно скорее», в частности, призвав Систему национальной безопасности, Министерство обороны и оборонных подрядчиков сделать это первоочередной задачей.
Агентство национальной безопасности заявило, что для использования этой конкретной уязвимости хакерам уже потребуется доступ к интерфейсу управления уязвимого устройства VMware, т.е. они должны быть во внутренней сети цели (при условии, что уязвимый интерфейс VMware не был доступен из Интернет). Однако компромисс SolarWinds обеспечил бы такой внутренний доступ.
В ответ на вопросы KrebsOnSecurity компания VMware заявила, что «не получала никаких уведомлений или указаний на то, что CVE 2020-4006 использовался вместе с компромиссом в цепочке поставок SolarWinds».
VMware добавила, что, хотя в некоторых из ее собственных сетей используется уязвимое программное обеспечение SolarWinds Orion, расследование пока не выявило никаких доказательств эксплуатации.
«Хотя мы выявили ограниченные экземпляры уязвимого программного обеспечения SolarWinds Orion в нашей среде, наше собственное внутреннее расследование не выявило никаких признаков эксплуатации», - говорится в заявлении компании. «Это также было подтверждено собственными исследованиями SolarWinds на сегодняшний день».
17 декабря агентство DHS по кибербезопасности и безопасности инфраструктуры (CISA) выпустило отрезвляющее предупреждение об атаке SolarWinds, отметив, что у CISA есть доказательства наличия дополнительных векторов доступа помимо платформы SolarWinds Orion.
В сообщении CISA особо отмечается, что «одним из основных способов достижения злоумышленником этой цели является компрометация сертификата подписи языка разметки утверждений безопасности (SAML) с использованием своих расширенных привилегий Active Directory. Как только это будет выполнено, злоумышленник создает неавторизованные, но действительные токены и представляет их службам, которые доверяют токенам SAML из среды. Затем эти токены можно использовать для доступа к ресурсам в размещенных средах, например к электронной почте, для кражи данных через авторизованные интерфейсы прикладного программирования (API).
Действительно, в сообщении АНБ от 7 декабря говорится, что хакерская деятельность, связанная с уязвимостью VMware, «привела к установке веб-оболочки и последующей злонамеренной активности, при которой учетные данные в форме утверждений аутентификации SAML были созданы и отправлены в Microsoft Active Directory. Службы федерации (ADFS), которые, в свою очередь, предоставили участникам доступ к защищенным данным ».
Также 17 декабря АНБ выпустило гораздо более подробные рекомендации, в которых объясняется, как оно увидело использование уязвимости VMware для подделки токенов SAML, на этот раз конкретно со ссылкой на взлом SolarWinds.
Отвечая на вопрос о возможном подключении, АНБ заявило только, что «если злоумышленники получат первоначальный доступ к сетям через взлом SolarWinds, ТТП [тактика, методы и процедуры], указанные в нашей рекомендации от 17 декабря, могут быть использованы для подделки учетных данных и поддержания постоянной доступ ».
«Наше руководство в этом информационном сообщении помогает обнаружить и смягчить последствия этого, независимо от метода первоначального доступа», - заявили в АНБ.
Анализ CISA показал, что мошенники, стоящие за вторжением SolarWinds, были в значительной степени сосредоточены на выдаче себя за доверенный персонал в целевых сетях и что они разработали умные способы обхода систем многофакторной аутентификации (MFA), защищающих сети, на которые они нацелены.
Бюллетень ссылается на исследование, опубликованное ранее на этой неделе охранной фирмой Volexity , в котором описывается встреча с теми же злоумышленниками, использующими новую технику для обхода защиты MFA, предоставляемой Duo для пользователей Microsoft Outlook Web App (OWA).
Cisco Systems Inc. , материнская компания Duo, ответила, что атака, описанная Volexity, не нацелена на какую-либо конкретную уязвимость в ее продуктах. Как объяснила Ars Technica , обход защиты Duo мог так же легко вовлечь любого из конкурентов Duo.
«Моделирование угроз MFA обычно не включает полную компрометацию системы сервера OWA», - написал Дэн Гудин из Арса . «Уровень доступа, достигнутый хакером, был достаточен, чтобы нейтрализовать практически любую защиту».
Несколько СМИ, в том числе The New York Times и The Washington Post , со ссылкой на анонимные правительственные источники заявили, что группа, стоящая за взломами SolarWinds, известна как APT29 или «Уютный медведь», группа повышенной опасности, которая, как считается, является частью Федеральной службы безопасности России (ФСБ).
SolarWinds заявила, что почти 18 000 клиентов, возможно, получили бэкдор-обновления программного обеспечения Orion. До сих пор были обнародованы только несколько клиентов, которые стали мишенью предполагаемых российских хакеров, стоящих за компрометацией SolarWinds, включая министерства торговли, энергетики и казначейства США, а также DHS.
Несомненно, в ближайшие дни и недели мы услышим о новых жертвах в государственном и частном секторе. Тем временем тысячи организаций сталкиваются с невероятно дорогостоящей, разрушительной и трудоемкой работой по определению того, были ли они скомпрометированы, и если да, то что с этим делать.
В сообщении CISA отмечается, что злоумышленники, стоящие за SolarWinds, компрометируют ключевой персонал компаний-жертв, включая персонал реагирования на киберинциденты и учетные записи электронной почты ИТ-отдела. Предупреждение предлагает организациям, которые подозревают, что они стали жертвами, следует предположить, что их электронная почта и внутренний сетевой трафик скомпрометированы, и полагаться на или создавать внеполосные системы для внутреннего обсуждения того, как они будут действовать для устранения беспорядка.
«Если злоумышленник скомпрометировал учетные данные административного уровня в среде или если организации обнаружат злоупотребление SAML в среде, простое устранение отдельных проблем, систем, серверов или определенных учетных записей пользователей, скорее всего, не приведет к удалению злоумышленника из сети», - сказал CISA. предупреждал. «В таких случаях организации должны рассматривать все хранилище доверенных удостоверений личности как скомпрометированное. В случае полной компрометации идентичности для успешного исправления требуется полное восстановление сервисов идентификации и доверия. В этом воссоздании следует повторить, что этот злоумышленник является одним из наиболее способных, и во многих случаях полное восстановление окружающей среды является самым безопасным действием».
Last edited:
