США: российские государственные хакеры крадут важные данные с помощью уязвимости VMware

Дата: 07.12.2020. Автор: Артем П. Категории: Новости по информационной безопасности
США: российские государственные хакеры крадут важные данные с помощью уязвимости VMware

Американское агентство национальной безопасности (АНБ) выпустило официальное предупреждение о том, что российские хакеры, которые спонсируются правительством РФ, активно эксплуатируют недавно устранённую уязвимость VMware для кражи конфиденциальных данных с помощью развертывания веб-шеллов на уязвимых серверах.

В сообщении американского ведомства сказано следующее: «АНБ призывает администраторов сетей оборонной промышленной базы, Министерства обороны, Национальной системы безопасности уделить приоритетное внимание устранению уязвимости на соответствующих уязвимых серверах. Любая организация, государственная или частная, которая пользуется уязвимыми продуктами, обязана незамедлительно установить исправления и обновления безопасности, которые были выпущены поставщиком».

Агентство национальной безопасности США при этом воздержалось от предоставления дополнительных сведений о проводимых российскими хакерами атаках, заявив, что «не предоставляется конкретная информация об источнике, чтобы у нас была возможность продолжать выполнение нашей жизненно важной роли для страны, в том числе развитие и обмен техническими рекомендациями, подобными этому отчету».

Ранее компания VMware заявила о срочном выпуске обновления безопасности, чтобы устранить уязвимость, после того как она была публично раскрыта около двух недель назад. Выявленная уязвимость CVE-2020-4006 первоначально была расценена как «критическая», но представители VMware объявили, что ошибка критической не является, поэтому ее можно оценить как «важную», потому что для ее эксплуатации киберпреступникам требуется наличие действительного пароля для учетной записи администратора.

Полный перечень программных продуктов компании VMware, которые являются уязвимыми, выглядит следующим образом:

  • VMware Workspace One Access 20.01, 20.10 (Linux).
  • VMware Identity Manager (vIDM) от 3.3.1 до 3.3.3 (Linux).
  • Коннектор VMware Identity Manager (коннектор vIDM) 3.3.1, 3.3.2 (Linux).
  • Коннектор VMware Identity Manager (коннектор vIDM) 3.3.1, 3.3.2, 3.3.3 / 19.03.0.0, 19.03.0.1 (Windows).
  • VMware Cloud Foundation 6 4.x.
  • VMware vRealize Suite Lifecycle Manager 7 8.x.

В процессе проведения атак, при которых хакеры эксплуатировали уязвимость CVE-2020-4006, Агентство национальной безопасности США наблюдало, как киберпреступники подключались к открытому интерфейсу управления устройствами, на которых были запущены уязвимые программные решения VMware, после чего они проникали в сети компаний для инсталляции веб-оболочек с помощью внедрения команд.

После развертывания веб-оболочек киберпреступники крали конфиденциальную информацию с помощью учетных данных SAML, чтобы получить доступ к серверам Microsoft Active Directory Federation Services (ADFS). Успешная эксплуатация уязвимости CVE-2020-4006 также позволяет хакерам выполнять команды Linux на скомпрометированных устройствах.

Артем П

Об авторе Артем П

Автор на портале cisoclub.ru. Добавляйте ваш материал на сайт в разделе "Разместить публикацию".
Читать все записи автора Артем П

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *