NSA advierte sobre APT rusas activas dirigidas a productos vulnerables de VMware

La Agencia de Seguridad Nacional (NSA) ha emitido una alerta de seguridad a todas las agencias gubernamentales para reparar sus sistemas contra una vulnerabilidad en los productos VMware. Dijo que los grupos patrocinados por Rusia están atacando estos sistemas vulnerables que les permiten instalar shells web y, en última instancia, robar datos.

Parche disponible para la vulnerabilidad de VMware

Productos VMware vulnerables

Los problemas definidos por la NSA se encuentran en los productos de VMware, para los cuales el proveedor ya pasó actualizaciones de parches a principios de este mes, después de publicitándolo unas semanas antes. Pero dado que la NSA rastrea los ataques en curso contra algunas agencias, Les preguntó para aplicar los parches.

Más específicamente, preguntó a los administradores de red sobre «Sistema de Seguridad Nacional (NSS), Departamento de Defensa (DoD) y Base de Defensa Industrial (DIB)”Para mitigar la vulnerabilidad. Cuando se le preguntó sobre los detalles de los grupos rusos que están atacando, la NSA negó detallarlos.

La vulnerabilidad se rastrea como CVE-2020-4006 y afecta a los siguientes productos de VMware;

  • VMware Workspace One Access 20.01, 20.10 (Linux)
  • VMware Identity Manager (vIDM) 3.3.1 a 3.3.3 (Linux)
  • Conector de VMware Identity Manager (conector vIDM) 3.3.1, 3.3.2 (Linux)
  • Conector de VMware Identity Manager (conector vIDM) 3.3.1, 3.3.2, 3.3.3 / 19.03.0.0, 19.03.0.1 (Windows)
  • VMware Cloud Foundation 6 4.x
  • VMware vRealize Suite Lifecycle Manager 7 8.x

VMware inicialmente sugirió algunas soluciones para proteger incluso el parche, que la NSA también recomendó probar. Pero desde el el parche oficial está disponible, ahora pide a los administradores que actualicen sus productos a versiones parcheadas para evitar ataques.

Detallaron que los atacantes están comenzando a explotar esta vulnerabilidad al conectarse inicialmente a la interfaz de administración basada en web expuesta de productos VMware vulnerables e instalar shells web a través de una inyección de comandos.

Luego usan las credenciales SAML para obtener acceso a Servicios de federación de Microsoft Active Directory Servidores (ADFS) y, en última instancia, robar datos confidenciales. Por lo tanto, la NSA sugirió seguir el proteger las afirmaciones SAML y autenticación multifactor de Microsoft.

Además, sugirió verificar los registros del servidor en caso de sospecha para averiguar si estaban infectados, en lugar de los indicadores de la red. Además, probar soluciones alternativas en servidores Linux y Windows es también sugirió.

Aunque esta vulnerabilidad recibió la puntuación máxima de gravedad cuando se lanzó, se redujo a «Importante» después de que VMware lanzó el parche. Esto es porque VMware dijo que los atacantes necesitan una contraseña válida para explotarlos.