Агентство національної безпеки (АНБ) попереджає, що хакери, які фінансуються Росією, використовують нещодавно виправлену уразливість VMware для викрадення конфіденційної інформації після розгортання веб-оболонок на вразливих серверах.
“АНБ закликає адміністраторів системи національної безпеки, Міністерства оборони та оборонної промислової бази надавати пріоритет пом’якшенню вразливості на постраждалих серверах”, – заявило розвідувальне відомство Міністерства оборони США .
На прохання надати більше інформації про цілі, скомпрометовані в результаті цих атак, АНБ заявила Bleeping Computer, що “не публічно повідомляє інформацію про жертви зловмисної кібернетичної діяльності”.
“Будь-яка організація, яка використовує постраждалі продукти, повинна негайно вжити заходів щодо застосування випуску, випущеного постачальником”, – закликала АНБ.
Доступні оновлення безпеки та обхідні шляхи
VMware випустила оновлення безпеки для усунення помилки безпеки 3 грудня ц.р. після публічного розкриття уразливості два тижні тому та надання тимчасового обхідного рішення, яке повністю видаляє вектор атаки та запобігає використанню.
Спочатку CVE-2020-4006 оцінювали як критичну уразливість, але VMware знизив свій максимальний рейтинг серйозності до “Важливий” після випуску виправлення та передачі, що для використання потрібен “дійсний пароль для адміністратора облікового запису конфігуратора”.
Повний перелік версій продуктів VMware, на які впливає нульовий день, включає:
- VMware Workspace One Access 20.01, 20.10 (Linux);
- VMware Identity Manager (vIDM) 3.3.1 до 3.3.3 (Linux);
- VMware Identity Manager Connector (vIDM Connector) 3.3.1, 3.3.2 (Linux);
- VMware Identity Manager Connector (vIDM Connector) 3.3.1, 3.3.2, 3.3.3/19.03.0.0, 19.03.0.1 (Windows);
- VMware Cloud Foundation 6 4.x;
- VMware vRealize Suite Lifecycle Manager 7 8.x.
Адміністратори, які не можуть негайно розгорнути патч, можуть використовувати тимчасовий обхідний шлях, щоб запобігти експлуатації CVE-2020-4006. Інформація про те, як впровадити та скасувати обхідний шлях на серверах Linux та Windows, доступна ТУТ .
“Цей обхідний шлях повинен бути лише тимчасовим виправленням, поки не вдасться повністю виправити систему”, – заявила АНБ. – Крім того, перегляньте та посиліть конфігурації та моніторинг об’єднаних постачальників автентифікації.”
Експлуатація дозволяє розгорнути веб-оболонку та викрасти дані
Під час атак, що експлуатують CVE-2020-4006, АНБ спостерігав за діями загроз, що підключаються до відкритого веб-інтерфейсу управління пристроями, на яких запущені уразливі продукти VMware, та мережами “зламаних” організацій для встановлення веб-оболонок за допомогою введення команд.
Після розгортання веб-оболонок зловмисники викрадають конфіденційні дані за допомогою облікових даних SAML, щоб отримати доступ до серверів федерації служб Active Directory (ADFS).
Успішне використання уразливості, яку ідентифікують як CVE-2020-4006, також дозволяє зловмисникам виконувати команди Linux на зламаних пристроях, що може допомогти їм отримати стійкість.
“При запуску продуктів, що виконують автентифікацію, критично важливо, щоб сервер і всі служби, які залежать від нього, були належним чином налаштовані для безпечної роботи та інтеграції”, – пояснює АНБ.
Виявлення цих атак за допомогою мережевих індикаторів неможливо, оскільки шкідлива діяльність здійснюється після підключення до веб-інтерфейсу управління через зашифровані тунелі TLS.
Однак команди “exit”, за якими йдуть 3-значні цифри, такі як “exit 123”, знайдені в /opt/vmware/horizon/workspace/logs/configurator.log на серверах, є ознакою того, що на пристрої могла статися експлуатаційна діяльність.
“Також можуть бути присутні інші команди разом із закодованими сценаріями. Якщо такі журнали виявляються, слід виконувати дії з реагування на інциденти”, – додала АНБ. – Рекомендується додаткове дослідження сервера, особливо щодо шкідливих програм веб-оболонки.”
Радимо звернути увагу на поради, про які писав Cybercalm, а саме:
Як увімкнути новий зчитувач PDF від Google Chrome? – ІНСТРУКЦІЯ
Як надавати дозволи, зокрема, тимчасові для програм на Android? – ІНСТРУКЦІЯ
Нова macOS Big Sur: 10 порад щодо налаштування та використання ОС
Як заборонити друзям із Facebook надсилати Вам повідомлення в Instagram? – ІНСТРУКЦІЯ
Як захисти свої пристрої під час віддаленої роботи з дому? ПОРАДИ
До речі, кібершахраям в черговий раз вдалося обійти захист офіційного магазину додатків для Android – Google Play Store, у результаті чого понад мільйон користувачів постраждали від фейковий модів для популярної гри Minecraft.
Зверніть увагу, що оператори відеосервісу TikTok усунули дві уразливості, які в комбінації дозволяють без особливих зусиль отримати контроль над чужим екаунтом. Одна з уразливостей була присутня на сайті, інша з’явилася в клієнтському додатку.
Також дослідники з кібербезпеки повідомили про зростання кількості кібератак, що використовують сервіси Google в якості зброї для обходу засобів захисту і крадіжки облікових даних, даних кредитних карт та іншої особистої інформації.
У мобільній версії додатка Facebook Messenger усунули уразливість, за допомогою якої можна було прослуховувати оточення абонента. За свідченням експерта, який знайшов баг, таємне підключення до цільового Android-пристрою у даному випадку виконується за кілька секунд.
П’ятеро фігурантів видавали себе за IT-спеціалістів фінансової установи. Під виглядом “тестування платіжної системи” вони здійснили незаконні перекази грошей на підконтрольні рахунки. У результаті таких дій вони незаконно привласнили 1,4 мільйона гривень банківської установи.
