Cơ quan An ninh Quốc gia Hoa Kỳ (NSA) hôm thứ Hai đã đưa ra một cảnh báo tư vấn rằng các tác nhân đe dọa Nga đang tận dụng lỗ hổng VMware được tiết lộ gần đây để cài đặt phần mềm độc hại trên hệ thống công ty và truy cập dữ liệu được bảo vệ.
Thông tin cụ thể về danh tính của tác nhân đe dọa khai thác lỗ hổng VMware hoặc thời điểm các cuộc tấn công này bắt đầu không được tiết lộ.
Sự phát triển diễn ra hai tuần sau khi công ty phần mềm ảo hóa tiết lộ công khai lỗ hổng—ảnh hưởng đến các sản phẩm VMware Workspace One Access, Access Connector, Identity Manager và Identity Manager Connector cho Windows và Linux—mà không phát hành bản vá và ba ngày sau khi phát hành bản cập nhật phần mềm cho sửa nó.
Vào cuối tháng 11, VMware đã đưa ra các giải pháp thay thế tạm thời để giải quyết vấn đề, cho biết các bản vá vĩnh viễn cho lỗ hổng này “sắp ra mắt”. Nhưng phải đến ngày 3 tháng 12, lỗi leo thang đặc quyền mới được giải quyết hoàn toàn.
Cùng ngày hôm đó, Cơ quan an ninh cơ sở hạ tầng và an ninh mạng Hoa Kỳ (CISA) đã đưa ra một bản tin ngắn khuyến khích các quản trị viên xem xét và áp dụng cũng như vá lỗi ngay khi có thể.
Được theo dõi dưới dạng CVE-2020-4006lỗ hổng chèn lệnh ban đầu được cho điểm CVSS là 9,1 trên thang điểm tối đa là 10 nhưng đã được sửa đổi vào tuần trước thành 7,2 để phản ánh thực tế rằng kẻ độc hại phải có thông tin xác thực hợp lệ cho tài khoản quản trị viên cấu hình để cố gắng khai thác.
“Tài khoản này là tài khoản nội bộ của các sản phẩm bị ảnh hưởng và mật khẩu được đặt tại thời điểm triển khai”, VMware cho biết trong lời khuyên của mình. “Một diễn viên độc hại phải sở hữu mật khẩu này để cố gắng khai thác CVE-2020-4006.”
Mặc dù VMware không đề cập rõ ràng rằng lỗi này đang được khai thác tích cực trong thực tế, nhưng theo NSA, các đối thủ hiện đang tận dụng lỗ hổng này để khởi động các cuộc tấn công nhằm ăn cắp dữ liệu được bảo vệ và lạm dụng các hệ thống xác thực được chia sẻ.
Trở thành Chuyên gia ứng phó sự cố!
Mở khóa các bí mật để ứng phó với sự cố chống đạn – Nắm vững quy trình 6 Giai đoạn với Asaf Perlman, Trưởng nhóm IR của Cynet!
Đừng bỏ lỡ – Tiết kiệm chỗ ngồi của bạn!
“Việc khai thác thông qua chèn lệnh đã dẫn đến cài đặt vỏ web và hoạt động độc hại tiếp theo trong đó thông tin xác thực ở dạng xác nhận xác thực SAML được tạo và gửi tới Dịch vụ Liên kết Active Directory của Microsoft, từ đó cấp cho các tác nhân quyền truy cập vào dữ liệu được bảo vệ, ” cơ quan này cho biết.
SAML hoặc Ngôn ngữ đánh dấu xác nhận bảo mật là một tiêu chuẩn mở và đánh dấu dựa trên XML để trao đổi dữ liệu xác thực và ủy quyền giữa các nhà cung cấp danh tính và nhà cung cấp dịch vụ để hỗ trợ đăng nhập một lần (SSO).
Bên cạnh việc kêu gọi các tổ chức cập nhật các hệ thống bị ảnh hưởng lên phiên bản mới nhất, cơ quan này cũng khuyến nghị bảo mật giao diện quản lý bằng một mật khẩu mạnh và duy nhất.
Hơn nữa, NSA khuyên các doanh nghiệp nên thường xuyên theo dõi nhật ký xác thực để xác thực bất thường cũng như quét nhật ký máy chủ của họ để tìm sự hiện diện của “tuyên bố thoát” có thể gợi ý hoạt động khai thác có thể xảy ra.
