La NSA afferma che gli hacker statali russi stanno utilizzando una falla di VMware per saccheggiare le reti

0
50

Ingrandisci / Questa immagine era il banner del profilo di uno degli account presumibilmente gestiti dalla Internet Research Agency, l'organizzazione che gestiva "campagne di influenza" sui social media in Russia, Germania, Ucraina e Stati Uniti risalenti al 2009.

Un troll russo

La National Security Agency afferma che gli hacker statali russi stanno compromettendo più sistemi VMware in attacchi che consentono agli hacker di installare malware, ottenere accesso non autorizzato a dati sensibili e mantenere una presa persistente su piattaforme di lavoro remote ampiamente utilizzate.

Gli attacchi in corso stanno sfruttando un bug di sicurezza che è rimasto senza patch fino a giovedì scorso, ha riferito l'agenzia lunedì. CVE-2020-4006, poiché il difetto viene tracciato, è un difetto di iniezione di comandi, il che significa che consente agli aggressori di eseguire comandi di loro scelta sul sistema operativo che esegue il software vulnerabile. Queste vulnerabilità sono il risultato del codice che non riesce a filtrare l'input dell'utente non sicuro come le intestazioni HTTP oi cookie. VMware ha corretto CVE-2020-4006 dopo essere stato avvisato dalla NSA.

Il Santo Graal di un hacker

Gli aggressori di un gruppo sponsorizzato dal governo russo stanno sfruttando la vulnerabilità per ottenere l'accesso iniziale ai sistemi vulnerabili. Quindi caricano una shell Web che fornisce un'interfaccia persistente per l'esecuzione dei comandi del server. Utilizzando l'interfaccia di comando, gli hacker sono finalmente in grado di accedere alla directory attiva, la parte dei sistemi operativi dei server Microsoft Windows che gli hacker considerano il Santo Graal perché consente loro di creare account, cambiare password e svolgere altre attività altamente privilegiate.

"Lo sfruttamento tramite iniezione di comandi ha portato all'installazione di una shell Web e ad attività dannose successive in cui sono state generate credenziali sotto forma di asserzioni di autenticazione SAML e inviate a Microsoft Active Directory Federation Services, che a sua volta ha concesso agli attori l'accesso ai dati protetti, "I funzionari della NSA hanno scritto nell'avviso di sicurezza informatica di lunedì.

Annuncio pubblicitario

Affinché gli aggressori possano sfruttare la falla di VMware, devono prima ottenere un accesso autenticato basato su password all'interfaccia di gestione del dispositivo. L'interfaccia per impostazione predefinita viene eseguita sulla porta Internet 8443. Le password devono essere impostate manualmente al momento dell'installazione del software, un requisito che suggerisce che gli amministratori scelgano password deboli o che le password siano state compromesse con altri mezzi.

"Un malintenzionato con accesso di rete al configuratore amministrativo sulla porta 8443 e una password valida per l'account amministratore del configuratore può eseguire comandi con privilegi illimitati sul sistema operativo sottostante", ha affermato VMware in un avviso pubblicato giovedì. "Questo account è interno ai prodotti interessati e una password viene impostata al momento della distribuzione. Un malintenzionato deve possedere questa password per tentare di sfruttare CVE-2020-4006 ".

Gli attacchi attivi arrivano quando un gran numero di organizzazioni ha avviato procedure di lavoro da casa in risposta alla pandemia COVID-19. Con molti dipendenti che accedono da remoto a informazioni sensibili archiviate su reti aziendali e governative, il software VMware svolge un ruolo chiave nelle misure di protezione progettate per mantenere le connessioni protette.

Il difetto di iniezione dei comandi interessa le seguenti cinque piattaforme VMware:

  • VMware Access 3 20.01 e 20.10 su Linux
  • VMware vIDM 5 3.3.1, 3.3.2 e 3.3.3 su Linux
  • Connettore VMware vIDM 3.3.1, 3.3.2, 3.3.3, 19.03
  • VMware Cloud Foundation 4.x
  • VMware vRealize Suite Lifecycle Manager 7 8.x

Le persone che eseguono uno di questi prodotti dovrebbero installare la patch VMware il prima possibile. Dovrebbero anche esaminare la password utilizzata per proteggere il prodotto VMware per assicurarsi che sia forte. Sia la NSA che VMware forniscono ulteriori consigli per la protezione dei sistemi tramite i collegamenti sopra.

L'avviso della NSA di lunedì non ha identificato il gruppo di hacker dietro gli attacchi se non per dire che era composto da "cyber-attori maligni sponsorizzati dallo stato russo". A ottobre, l'FBI e la Cybersecurity and Infrastructure Security Agency hanno avvertito che gli hacker statali russi stavano prendendo di mira la vulnerabilità critica di Windows denominata Zerologon. Quel gruppo di hacker russo ha molti nomi, tra cui Berserk Bear, Energetic Bear, TeamSpy, Dragonfly, Havex, Crouching Yeti e Koala.

Post aggiornato per correggere i prodotti interessati.