Русские хакеры эксплуатируют недавно исправленную уязвимость в продуктах VMware

[Artifact]

Злоумышленники эксплуатируют уязвимость в атаках на организации с целью похищения конфиденциальных данных.

Агентство национальной безопасности США выпустило предупреждение о том, что русские хакеры эксплуатируют недавно обнаруженную уязвимость в продуктах VMware для установки вредоносного ПО в сетях организаций с целью похищения конфиденциальной информации. Какая группировка стоит за атаками, и когда эти атаки начались, АНБ не уточняет.
Предупреждение было опубликовано через две недели после того, как компания VMware сообщила широкой общественности об уязвимости в продуктах VMware Workspace One Access, Access Connector, Identity Manager и Identity Manager Connector для Windows и Linux, не выпустив при этом исправление. В итоге обновление вышло за три дня до публикации уведомления АНБ.
В конце прошлого месяца VMware представила временное решение для исправления проблемы, пообещав в ближайшее время выпустить патч, однако обновление вышло только 3 декабря. В тот же день Агентство кибербезопасности и безопасности инфраструктуры США (Cybersecurity and Infrastructure Security Agency, CISA) опубликовало лаконичный бюллетень безопасности, призывающий системных администраторов как можно скорее установить обновление.
Изначально уязвимость внедрения команд ( CVE-2020-4006 ) получила 9,1 балла из максимальных 10 по шкале оценивания опасности уязвимостей CVSS. Однако на прошлой неделе оценка была снижена до 7,2 балла, поскольку для эксплуатации уязвимости у злоумышленника должны быть действительные учетные данные для доступа к учетной записи администратора конфигуратора. Учетная запись встроена в продукт, а пароль устанавливается в процессе его развертывания.
Согласно уведомлению АНБ, в настоящее время злоумышленники эксплуатируют уязвимость в атаках с целью кражи защищенных данных и злоупотребления системами общей аутентификации.
«Эксплуатация уязвимости посредством внедрения команды приводит к установке web-оболочки и последующей вредоносной активности, во время которой генерируются учетные данные в форме SAML и отправляются в Microsoft Active Directory Federation Services, в свою очередь предоставляющие злоумышленникам доступ к защищенным данным», - говорится в уведомлении АНБ.
SAML – язык разметки на базе XML. Представляет собой открытый стандарт обмена данными аутентификации и авторизации между участниками (в частности, между поставщиком учетных записей и поставщиком сервиса) через систему единого входа (SSO).