В течение 2020 года из-за пандемии коронавируса огромное количество офисных сотрудников были вынуждены работать удаленно. Эта ситуация предсказуемо вызвала интерес со стороны хакеров. Агентство национальной безопасности США заявило, что группы российских провластных хакеров активно атакуют различные платформы для удаленной работы, используя обнаруженную уязвимость VMWare.
Сам вендор на днях выпустил бюллетень по безопасности, где описал все нужные шаги для устранения уязвимости. Тогда же Агентство кибербезопасности и защиты инфраструктуры (CISA) обратилось к администраторам сетей с призывом немедленно исправить уязвимость. «Хакер мог использовать уязвимость, чтобы взять систему под контроль», — говорится в сообщении. АНБ отдельно просит администраторов сетей Национальной системы безопасности (National Security System), Министерства обороны и всего оборонно-промышленного комплекса страны немедленно устранить уязвимость везде, где это возможно.
Обеспокоенность АНБ разделяют не все. Так, старший специалист по аналитике кибершпионажа в ИБ-компании FireEye Бен Рид говорит, что в этой ситуации важно анализировать не только само сообщение, но и от кого оно исходит. «Эта уязвимость удаленного выполненного кода — то, чего любая компания старается не допустить. Но иногда такое случается. АНБ уделяет этому такое большое внимание, потому что уязвимость использовали люди из России и, предположительно, против важных для АНБ целей», — сказал он.
Все уязвимые продукты VMware относятся к решениям для облачной инфраструктуры и управления учетными данными. Это, например, VMware Cloud Foundation, VMware Workspace One Access и его предшественник VMware Identity Manager. В заявлении самой компании говорится, что «после появления проблемы она провела работу по оценке уязвимости и опубликовала обновления и патчи для ее закрытия». Также отмечается, что ситуация оценивается, как «важная», то есть на один уровень ниже «критической». Причина в том, что хакеры должны иметь доступ к веб-интерфейсу управления, защищенному паролем, прежде чем они смогут воспользоваться уязвимостью. Как только хакер получает доступ, он может использовать уязвимость для манипулирования запросами аутентификации SAML-утверждениями и таким образом проникнуть в сеть организации глубже, чтобы получить доступ к важной информации.
Сама АНБ в своем сообщении говорит, что надежный пароль снижает риск атаки. К счастью, пострадавшие продукты VMWare спроектированы так, чтобы администраторы не использовали пароли по умолчанию, которые было бы легко угадать. Бен Рид из FireEye отмечает, что хотя для использования этой ошибки сначала требуется узнать пароль, это не является непреодолимым препятствием, особенно для российских хакеров, у которых есть большой опыт по взлому учетных записей с помощью многих способов. Например, Password Spraying.
Также он отметил, что за последние несколько лет количество публичных заявлений о выявлении уязвимостей нулевого дня, используемых российскими хакерами, уменьшилось. Обычно, они предпочитают использовать общеизвестные баги.
Когда много сотрудников работают удаленно, может быть сложно использовать традиционные инструменты сетевого мониторинга для выявления потенциально подозрительного поведения. Однако АНБ сообщает, что такие уязвимости, как ошибка VMware, представляют собой уникальную проблему, потому что вредоносная активность здесь происходит в зашифрованных соединениях с веб-интерфейсом, которые невозможно отличить от аутентификаций сотрудников. АНБ рекомендует администраторам организаций просматривать сетевые логи на предмет exit statements, которые могут указывать на подозрительную деятельность. «Регулярно отслеживайте журналы аутентификации на предмет аномальных входов, особенно успешных. Стоит уделить внимание тем из них, которые используют установленные трасты, но которые приходят с необычных адресов или содержат необычные свойства», — говорится в сообщении ведомства.
АНБ не конкретизировало свои наблюдения об использовании уязвимости пророссийскими хакерами. Однако, по сообщениям американских СМИ хакеры из России активно атаковали ИТ-инфраструктуру США в течение 2020 года. В частности, их интересовали цели среди правительственных, энергетических и других важных структур. Кроме того, сообщается, что хакеры проявляли активность и во время президентских выборов.
Блог ITGLOBAL.COM — Managed IT, частные облака, IaaS, услуги ИБ для бизнеса:
Сам вендор на днях выпустил бюллетень по безопасности, где описал все нужные шаги для устранения уязвимости. Тогда же Агентство кибербезопасности и защиты инфраструктуры (CISA) обратилось к администраторам сетей с призывом немедленно исправить уязвимость. «Хакер мог использовать уязвимость, чтобы взять систему под контроль», — говорится в сообщении. АНБ отдельно просит администраторов сетей Национальной системы безопасности (National Security System), Министерства обороны и всего оборонно-промышленного комплекса страны немедленно устранить уязвимость везде, где это возможно.
Волнуются не везде
Обеспокоенность АНБ разделяют не все. Так, старший специалист по аналитике кибершпионажа в ИБ-компании FireEye Бен Рид говорит, что в этой ситуации важно анализировать не только само сообщение, но и от кого оно исходит. «Эта уязвимость удаленного выполненного кода — то, чего любая компания старается не допустить. Но иногда такое случается. АНБ уделяет этому такое большое внимание, потому что уязвимость использовали люди из России и, предположительно, против важных для АНБ целей», — сказал он.
Все уязвимые продукты VMware относятся к решениям для облачной инфраструктуры и управления учетными данными. Это, например, VMware Cloud Foundation, VMware Workspace One Access и его предшественник VMware Identity Manager. В заявлении самой компании говорится, что «после появления проблемы она провела работу по оценке уязвимости и опубликовала обновления и патчи для ее закрытия». Также отмечается, что ситуация оценивается, как «важная», то есть на один уровень ниже «критической». Причина в том, что хакеры должны иметь доступ к веб-интерфейсу управления, защищенному паролем, прежде чем они смогут воспользоваться уязвимостью. Как только хакер получает доступ, он может использовать уязвимость для манипулирования запросами аутентификации SAML-утверждениями и таким образом проникнуть в сеть организации глубже, чтобы получить доступ к важной информации.
Сама АНБ в своем сообщении говорит, что надежный пароль снижает риск атаки. К счастью, пострадавшие продукты VMWare спроектированы так, чтобы администраторы не использовали пароли по умолчанию, которые было бы легко угадать. Бен Рид из FireEye отмечает, что хотя для использования этой ошибки сначала требуется узнать пароль, это не является непреодолимым препятствием, особенно для российских хакеров, у которых есть большой опыт по взлому учетных записей с помощью многих способов. Например, Password Spraying.
Также он отметил, что за последние несколько лет количество публичных заявлений о выявлении уязвимостей нулевого дня, используемых российскими хакерами, уменьшилось. Обычно, они предпочитают использовать общеизвестные баги.
Реакция компании
Когда много сотрудников работают удаленно, может быть сложно использовать традиционные инструменты сетевого мониторинга для выявления потенциально подозрительного поведения. Однако АНБ сообщает, что такие уязвимости, как ошибка VMware, представляют собой уникальную проблему, потому что вредоносная активность здесь происходит в зашифрованных соединениях с веб-интерфейсом, которые невозможно отличить от аутентификаций сотрудников. АНБ рекомендует администраторам организаций просматривать сетевые логи на предмет exit statements, которые могут указывать на подозрительную деятельность. «Регулярно отслеживайте журналы аутентификации на предмет аномальных входов, особенно успешных. Стоит уделить внимание тем из них, которые используют установленные трасты, но которые приходят с необычных адресов или содержат необычные свойства», — говорится в сообщении ведомства.
АНБ не конкретизировало свои наблюдения об использовании уязвимости пророссийскими хакерами. Однако, по сообщениям американских СМИ хакеры из России активно атаковали ИТ-инфраструктуру США в течение 2020 года. В частности, их интересовали цели среди правительственных, энергетических и других важных структур. Кроме того, сообщается, что хакеры проявляли активность и во время президентских выборов.
Блог ITGLOBAL.COM — Managed IT, частные облака, IaaS, услуги ИБ для бизнеса:
- Популярные сайты все еще уязвимы для массовой DDoS-атаки
- Почему этичным хакерам следует взламывать корпорации сообща. Интервью с баг-хантером Алексом Чапманом
- Страх перед автоматизацией работы и другие тренды в мировой и российской кибербезопасности
- Как мы нашли уязвимость в почтовом сервере банка и чем она грозила
- Главные тенденции ИТ-индустрии в 2021 году по версии Gartner
