国家安全局说,俄罗斯的国家黑客在攻击中破坏了多个VMware系统,这些系统允许黑客安装恶意软件,未经授权访问敏感数据并永久保留广泛使用的远程工作平台。
该机构周一报道说,正在进行中的攻击正在利用一个直到上周四仍未修复的安全漏洞。可以跟踪漏洞,CVE-2020-4006是命令注入漏洞,这意味着攻击者可以在运行易受攻击的软件的操作系统上执行自己选择的命令。这些漏洞是由于代码无法过滤不安全的用户输入(例如HTTP标头或cookie)而导致的。 VMware被NSA通知后修补了CVE-2020-4006。
来自俄罗斯政府赞助的一个团体的攻击者正在利用此漏洞来初步访问易受攻击的系统。然后,他们上传一个Web Shell,该Web Shell提供了用于运行服务器命令的持久接口。黑客最终可以使用命令界面访问活动目录,该活动目录是Microsoft Windows服务器操作系统中被黑客视为圣杯的部分,因为它允许他们创建帐户,更改密码并执行其他高特权任务。
“通过命令注入进行的利用导致了Web Shell的安装和后续的恶意活动,其中以SAML身份验证断言的形式生成凭据并将其发送到Microsoft Active Directory联合身份验证服务,Microsoft Active Directory联合身份验证服务又使参与者有权访问受保护的数据, NSA官员在周一的网络安全公告中写道。
为了使攻击者能够利用VMware漏洞,他们首先必须获得对设备管理界面的基于身份验证的基于密码的访问。默认情况下,该接口运行在Internet端口8443上。必须在安装软件时手动设置密码,该要求建议管理员选择弱密码或通过其他方式破坏密码。
VMware在周四发布的一份咨询报告中说:“具有恶意软件的行为者可以通过端口8443访问网络,并且可以使用配置器admin帐户的有效密码来执行对命令的访问。” “此帐户是受影响产品的内部帐户,并且在部署时设置了密码。恶意角色必须拥有此密码才能尝试利用CVE-2020-4006。”
主动攻击发生之际,大量组织已针对COVID-19大流行发起了在家工作程序。随着许多员工远程访问公司和政府网络上存储的敏感信息,VMware的软件在旨在确保连接安全的安全措施中起着关键作用。
运行这些产品之一的人应尽快安装VMware补丁。 他们还应该检查用于保护VMware产品的密码,以确保其安全性。 NSA和VMware都在上面的链接中提供了有关保护系统安全的其他建议。 周一,美国国家安全局(NSA)的通报并未指出攻击背后的黑客组织,只是说它是由“俄罗斯国家资助的恶意网络参与者”组成的。 联邦调查局(FBI)和网络安全与基础设施安全局(SEC)在10月警告说,俄罗斯国家黑客正在针对被称为Zerologon的Windows严重漏洞进行攻击。 那个俄罗斯黑客组织有很多名字,包括狂暴熊,活力熊,TeamSpy,蜻蜓,Havex,蹲伏的雪人和考拉。