La Agencia de Seguridad Nacional (NSA) advierte que los actores de amenazas patrocinados por el estado ruso están explotando una vulnerabilidad de VMware recientemente parcheada para robar información confidencial después de implementar shells web en servidores vulnerables.
“La NSA anima a los administradores de red del Sistema de Seguridad Nacional (NSS), el Departamento de Defensa (DoD) y la Base Industrial de Defensa (DIB) a priorizar la mitigación de la vulnerabilidad en los servidores afectados”, dijo la agencia de inteligencia del Departamento de Defensa de Estados Unidos.
Cuando se le pidió que proporcionara más información sobre los objetivos comprometidos en estos ataques, la NSA le dijo a BleepingComputer que “no comparte públicamente detalles sobre las víctimas de actividades cibernéticas maliciosas en el extranjero”.
“Cualquier organización que utilice los productos afectados debe tomar medidas inmediatas para aplicar el parche lanzado por el proveedor”, instó la NSA.
La NSA también se abstuvo de proporcionar más información sobre la fecha de inicio de estos ataques y dijo que “no proporcionamos detalles específicos sobre la fuente de ninguna información en particular para que podamos seguir cumpliendo con nuestro papel vital para la nación, incluido el desarrollo y compartir orientación técnica como este informe “.
Actualizaciones de seguridad y soluciones alternativas disponibles
VMware lanzó actualizaciones de seguridad para abordar el error de seguridad el 3 de diciembre después de revelar públicamente la vulnerabilidad hace dos semanas y proporcionar una solución temporal que elimina por completo el vector de ataque y evita la explotación.
CVE-2020-4006 se calificó inicialmente como una vulnerabilidad de gravedad crítica, pero VMware ha reducido su calificación de gravedad máxima a ‘Importante’ después de lanzar un parche y compartir que la explotación requiere una “contraseña válida para la cuenta de administrador del configurador”.
“Esta cuenta es interna de los productos afectados y se establece una contraseña en el momento de la implementación. Un actor malintencionado debe poseer esta contraseña para intentar explotar CVE-2020-4006”, explica VMware.
La lista completa de versiones de productos de VMware afectadas por el día cero incluye:
- VMware Workspace One Access 20.01, 20.10 (Linux)
- VMware Identity Manager (vIDM) 3.3.1 hasta 3.3.3 (Linux)
- Conector de VMware Identity Manager (conector vIDM) 3.3.1, 3.3.2 (Linux)
- Conector de VMware Identity Manager (conector vIDM) 3.3.1, 3.3.2, 3.3.3 / 19.03.0.0, 19.03.0.1 (Windows)
- VMware Cloud Foundation 6 4.x
- VMware vRealize Suite Lifecycle Manager 7 8.x
Los administradores que no puedan implementar el parche de inmediato pueden usar la solución temporal para evitar la explotación de CVE-2020-4006. La información sobre cómo implementar y revertir la solución en servidores Linux y Windows está disponible AQUÍ.
“Esta solución debería ser sólo una solución temporal hasta que se pueda parchear completamente el sistema”, dijo la NSA. “Además, revise y refuerce las configuraciones y el monitoreo de los proveedores de autenticación federados”.
La explotación permite la implementación de shell web y el robo de datos
En los ataques que explotan CVE-2020-4006, la NSA observó a los actores de amenazas que se conectaban a la interfaz de administración basada en web expuesta de dispositivos que ejecutan productos VMware vulnerables y se infiltran en las redes de las organizaciones para instalar shells web mediante inyección de comandos.
Después de implementar los shells web, los atacantes roban datos confidenciales utilizando credenciales SAML para obtener acceso a los servidores de Microsoft Active Directory Federation Services (ADFS).
La explotación exitosa de la vulnerabilidad rastreada como CVE-2020-4006 también permite a los atacantes ejecutar comandos de Linux en dispositivos comprometidos, lo que podría ayudarlos a ganar persistencia.
“Cuando se ejecutan productos que realizan autenticación, es fundamental que el servidor y todos los servicios que dependen de él estén correctamente configurados para una operación e integración seguras”, explica la NSA.
“De lo contrario, las aserciones SAML podrían falsificarse, otorgando acceso a numerosos recursos. Si integra servidores de autenticación con ADFS, la NSA recomienda seguir las mejores prácticas de Microsoft, especialmente para asegurar las aserciones SAML y requerir autenticación multifactor”.
La detección de estos ataques utilizando indicadores basados en la red no es factible ya que la actividad maliciosa se lleva a cabo después de conectarse a la interfaz de administración web a través de túneles cifrados TLS.
Sin embargo, las declaraciones de ‘salida’ seguidas de números de 3 dígitos como ‘salida 123’ que se encuentran en /opt/vmware/horizon/workspace/logs/configurator.log en los servidores son una indicación de que puede haber ocurrido actividad de explotación en el dispositivo.
“También pueden estar presentes otros comandos junto con scripts codificados. Si se detectan tales registros, se deben seguir las acciones de respuesta a incidentes”, agregó la NSA. “Se recomienda una investigación adicional del servidor, especialmente para el malware de shell web”.
Reducir el riesgo de ataques exitosos
El riesgo de seguridad de esta vulnerabilidad se reduce por el hecho de que esta contraseña debe establecerse en el momento de la implementación; se recomienda encarecidamente elegir una contraseña única y segura.
Restringir el acceso a la interfaz de administración basada en web para los productos afectados reduce aún más el riesgo de un ataque exitoso.
La agencia recomienda en el aviso [PDF] que “los administradores de red de NSS, DoD y DIB limitan la accesibilidad de la interfaz de administración en los servidores a solo un pequeño conjunto de sistemas conocidos y lo bloquean del acceso directo a Internet”.
Cuando se sospecha un compromiso, la NSA aconseja verificar los registros del servidor para detectar signos de explotación, verificar y actualizar las configuraciones del servicio de autenticación e implementar la autenticación de múltiples factores para los servicios de credenciales de seguridad.
No señalar con el dedo
La NSA no nombró al grupo APT respaldado por Rusia que explota la vulnerabilidad de inyección de comandos de VMware en los ataques en curso.
Sin embargo, al menos uno de estos grupos de piratería ha estado apuntando activamente a las redes de organizaciones gubernamentales estatales, locales, territoriales y tribales (SLTT) de EE. UU. Durante los últimos meses.
El FBI y DHS-CISA dijeron en un aviso conjunto publicado en octubre que el grupo de piratería Energetic Bear, patrocinado por el estado ruso, ha violado y exfiltrado datos de las redes del gobierno de EE. UU. A partir de septiembre de 2020.
DHS-CISA proporciona más detalles sobre la actividad cibernética maliciosa rusa histórica dirigida a organizaciones estadounidenses (rastreada como GRIZZLY STEPPE).
