Hackers rusos están explotando una nueva vulnerabilidad de VMware para robar datos
La Agencia de Seguridad Nacional (NSA) advierte que los actores de amenazas patrocinados por el estado ruso están explotando una vulnerabilidad de VMware. Esta vulnerabilidad fue parcheada recientemente. Ahora, está siendo explotada para robar información confidencial después de implementar shells web en servidores vulnerables.
“La NSA anima al Sistema Nacional de Seguridad (NSS), el Departamento de Defensa (DoD), Base Defense Industrial (DIB) y a administradores de red a actuar. Esto para dar prioridad a la mitigación de la vulnerabilidad en los servidores afectados”.
Afirmaciones de la agencia de inteligencia del Departamento de Defensa de Estados Unidos.
Cuando se le pidió que proporcionara más información sobre los objetivos comprometidos en estos ataques la agencia no dio detalles. La NSA dijo que “no comparte públicamente detalles sobre las víctimas de actividades cibernéticas maliciosas en el extranjero”.
“Cualquier organización que utilice los productos afectados debe tomar medidas inmediatas para aplicar el parche lanzado por el proveedor”, instó la NSA.
La NSA también se abstuvo de proporcionar más información sobre la fecha de inicio de estos ataques. La agencia dijo que “no proporcionamos detalles específicos sobre la fuente de ninguna información en particular. Esto para que podamos seguir cumpliendo con nuestro papel vital para la nación, incluido el desarrollo y compartir orientación técnica como este informe”.
Actualizaciones de seguridad y soluciones alternativas disponibles
VMware lanzó actualizaciones de seguridad para abordar la falla de seguridad el 3 de diciembre después de revelar públicamente la vulnerabilidad hace dos semanas. Y, proporcionó una solución temporal que elimina por completo el vector de ataque y evita la explotación.
CVE-2020-4006 se calificó inicialmente como una vulnerabilidad de gravedad crítica, pero VMware ha reducido su calificación de gravedad máxima a ‘Importante‘. Esto después de lanzar un parche y compartir que la explotación requiere una “contraseña válida para la cuenta de administrador del configurador”.
“Esta cuenta es interna de los productos afectados y se establece una contraseña en el momento de la implementación. Un actor malintencionado debe poseer esta contraseña para intentar explotar CVE-2020-4006”, explica VMware.
La lista completa de versiones de productos de VMware afectadas por el día cero (zero-day) incluye:
- VMware Workspace One Access 20.01, 20.10 (Linux)
- VMware Identity Manager (vIDM) 3.3.1 hasta 3.3.3 (Linux)
- Conector de VMware Identity Manager (conector vIDM) 3.3.1, 3.3.2 (Linux)
- Conector de VMware Identity Manager (conector vIDM) 3.3.1, 3.3.2, 3.3.3/19.03.0.0, 19.03.0.1 (Windows)
- VMware Cloud Foundation 6 4.x
- VMware vRealize Suite Lifecycle Manager 7 8.x
Los administradores que no puedan implementar el parche de inmediato pueden usar la solución temporal para evitar la explotación de CVE-2020-4006. La información sobre cómo implementar y revertir la solución en servidores Linux y Windows está disponible AQUÍ .
“Esta solución debería ser sólo una solución temporal hasta que se pueda parchear completamente el sistema”, dijo la NSA. “Además, debes revisar y reforzar las configuraciones y el monitoreo de los proveedores de autenticación federados”.
La explotación permite la implementación de shell web y el robo de datos
En los ataques que explotan CVE-2020-4006, la NSA observó algunos patrones. Los actores de amenazas se conectaban a la interfaz de administración basada en web expuesta de dispositivos que ejecutan productos VMware vulnerables. Y, se infiltran en las redes de las organizaciones para instalar shells web mediante inyección de comandos.
Después de implementar los shells web, los atacantes roban datos confidenciales utilizando credenciales SAML. Esto para obtener acceso a los servidores de Microsoft Active Directory Federation Services (ADFS).
La explotación exitosa de la vulnerabilidad rastreada como CVE-2020-4006 también permite a los atacantes ejecutar comandos de Linux en dispositivos comprometidos. Los comandos podrían ayudarles a ganar persistencia.
“Cuando se ejecutan productos que realizan autenticación se debe tener especial cuidado. Es fundamental que el servidor y todos los servicios que dependen de él estén configurados correctamente para una operación e integración seguras”, explica la NSA.
“De lo contrario, las aserciones SAML podrían falsificarse, otorgando acceso a numerosos recursos. Si integras servidores de autenticación con ADFS, la NSA recomienda seguir las mejores prácticas de Microsoft, especialmente para asegurar las aserciones SAML y requerir autenticación multifactor”.
La detección de estos ataques utilizando indicadores basados en la red no es factible. Esto porque la actividad maliciosa se lleva a cabo después de conectarse a la interfaz de administración web a través de túneles cifrados TLS.
Sin embargo, las declaraciones de ‘salida’ seguidas de números de 3 dígitos como ‘salida 123’ que se encuentran en /opt/vmware/horizon/workspace/logs/configurator.log en los servidores son una indicación de que puede haber ocurrido actividad de explotación en el dispositivo.
“También pueden estar presentes otros comandos junto con scripts codificados. Si se detectan tales registros, se deben seguir las acciones de respuesta a incidentes”, agregó la NSA. “Se recomienda una investigación adicional del servidor, especialmente para el malware de shell web”.
Reducir el riesgo de ataques exitosos
El riesgo de seguridad de esta vulnerabilidad se reduce por el hecho de que esta contraseña debe establecerse en el momento de la implementación. Por ello se recomienda encarecidamente elegir una contraseña única y segura.
Restringir el acceso a la interfaz de administración basada en web para los productos afectados reduce aún más el riesgo de un ataque exitoso.
La agencia recomienda en el aviso [PDF] que “los administradores de red NSS, DoD y DIB limiten la accesibilidad de la interfaz de administración. Deben limitar la accesibilidad en los servidores a sólo un pequeño conjunto de sistemas conocidos y bloquear el acceso directo a Internet”.
Cuando se sospecha un compromiso, la NSA aconseja verificar los registros del servidor para detectar signos de explotación, verificar y actualizar las configuraciones. Debes revisar las configuraciones del servicio de autenticación e implementar la autenticación de múltiples factores para los servicios de credenciales de seguridad.
No señalar con el dedo
La NSA no nombró al grupo APT respaldado por Rusia que explota la vulnerabilidad de inyección de comandos de VMware en los ataques en curso.
Sin embargo, al menos uno de estos grupos de hacking ha estado apuntando activamente a las redes de organizaciones gubernamentales. Han estado apuntando a organizaciones estatales, locales, territoriales y tribales (SLTT) de Estados Unidos durante los últimos meses.
El FBI y DHS-CISA dijeron en un aviso conjunto publicado en octubre que el grupo de hacking Energetic Bear ha estado atacando. El grupo patrocinado por el estado ruso, ha violado y exfiltrado datos de las redes del gobierno de Estados Unidos desde septiembre de 2020.
DHS-CISA ha proporcionado más detalles sobre la actividad cibernética maliciosa rusa histórica dirigida a organizaciones estadounidenses (identificada como GRIZZLY STEPPE).