Un troll ruso
La Agencia de Seguridad Nacional dice que los piratas informáticos estatales rusos están comprometiendo múltiples sistemas VMware en ataques que les permiten instalar malware, obtener acceso no autorizado a datos confidenciales y mantener una retención persistente en plataformas de trabajo remoto ampliamente utilizadas.
Los ataques en curso están aprovechando un error de seguridad que permaneció sin parchear hasta el jueves pasado, la agencia informó el lunes
El Santo Grial de un hacker
Los atacantes de un grupo patrocinado por el gobierno ruso están explotando la vulnerabilidad para obtener acceso inicial a sistemas vulnerables. Luego cargan un shell web que brinda una interfaz persistente para ejecutar comandos del servidor. Usando la interfaz de comando, los piratas informáticos finalmente pueden acceder al directorio activo, la parte de los sistemas operativos de servidor de Microsoft Windows que los piratas informáticos consideran el Santo Grial porque les permite crear cuentas, cambiar contraseñas y realizar otras tareas altamente privilegiadas.
“La explotación a través de la inyección de comandos llevó a la instalación de un shell web y a la actividad maliciosa de seguimiento donde se generaron credenciales en forma de aserciones de autenticación SAML y se enviaron a Microsoft Active Directory Federation Services, que a su vez otorgó a los actores acceso a datos protegidos ”, Escribieron los funcionarios de la NSA en el aviso de ciberseguridad del lunes.
Para que los atacantes aprovechen la falla de VMware, primero deben obtener acceso autenticado basado en contraseña a la interfaz de administración del dispositivo. La interfaz se ejecuta de forma predeterminada en el puerto de Internet 8443. Las contraseñas deben configurarse manualmente al instalar el software, un requisito que sugiere que los administradores están eligiendo contraseñas débiles o que las contraseñas están siendo comprometidas por otros medios.
“Un actor malintencionado con acceso de red al configurador administrativo en el puerto 8443 y una contraseña válida para la cuenta de administrador del configurador puede ejecutar comandos con privilegios sin restricciones en el sistema operativo subyacente”, dijo VMware en un aviso publicado el jueves. “Esta cuenta es interna de los productos afectados y se establece una contraseña en el momento de la implementación. Un actor malintencionado debe poseer esta contraseña para intentar explotar CVE-2020-4006 “.
Los ataques activos se producen cuando un gran número de organizaciones han iniciado procedimientos de trabajo desde casa en respuesta a la pandemia de COVID-19. Dado que muchos empleados acceden de forma remota a información confidencial almacenada en redes corporativas y gubernamentales, el software de VMware juega un papel clave en las salvaguardas diseñadas para mantener las conexiones seguras.
La falla de inyección de comandos afecta a las siguientes cinco plataformas de VMware:
- VMware Access 3 20.01 y 20.10 en Linux
- VMware vIDM 5 3.3.1, 3.3.2 y 3.3.3 en Linux
- Conector VMware vIDM 3.3.1, 3.3.2, 3.3.3, 19.03
- VMware Cloud Foundation 6 4.x
- VMware vRealize Suite Lifecycle Manager 7 8.x
Las personas que ejecutan uno de estos productos deben instalar el parche de VMware lo antes posible. También deben revisar la contraseña utilizada para proteger el producto VMware para asegurarse de que sea seguro. Tanto la NSA como VMware tienen consejos adicionales para proteger los sistemas en los enlaces anteriores.
El aviso de la NSA del lunes no identificó al grupo de piratas informáticos detrás de los ataques, excepto para decir que estaba compuesto por “ciberactores maliciosos patrocinados por el estado ruso”. En octubre, el FBI y la Agencia de Seguridad de Infraestructura y Ciberseguridad prevenido que los hackers estatales rusos estaban apuntando a la vulnerabilidad crítica de Windows denominada Zerologon. Ese grupo de piratería rusa tiene muchos nombres, incluidos Berserk Bear, Energetic Bear, TeamSpy, Dragonfly, Havex, Crouching Yeti y Koala.