В конце ноября компания VMware сообщила о 0-day уязвимости CVE-2020-4006 в своей продукции, обнаруженной специалистами АНБ. Сначала специалисты компании рассказали о временных способах защиты от бага, а в конце прошлой недели наконец выпустили исправления.

Проблема влияет на решения для управления  эндпоинтами и идентификационными данными, которые часто используются в корпоративных и государственных сетях. Так, баг затронул:

  • VMware Workspace ONE Access (Access) 20.01 и 10 на Linux;
  • VMware Workspace ONE Access Connector (Access Connector)
  • VMware Identity Manager (vIDM) 3.3.1, 3.3.2, 3.3.3 на Linux;
  • VMware Identity Manager Connector (vIDM Connector) 3.3.1, 3.3.2, 3.3.3, 19.03
  • VMware Cloud Foundation 4.x;
  • vRealize Suite Lifecycle Manager 8.x.

Теперь, когда патчи выпущены, специалисты АНБ опубликовали собственное предупреждение о CVE-2020-4006, где призвали правительственные организации срочно установить исправления из-за продолжающихся атак со стороны российских хакеров.

По сути CVE-2020-4006 представляет собой уязвимость внедрения команд, которая позволяет злоумышленникам выполнять произвольные команды на уровне ОС. Причем багом можно воспользоваться лишь в том случае, если предварительно злоумышленник прошел аутентификацию в панели управления WorkspaceONE. Если это произошло, уязвимость может быть использована для получения полного контроля над любой незащищенной системой VMWare Workspace ONE.

По информации АНБ, уже известно о случаях, когда российские правительственные хакеры получали учетные данные от панели VMWare Workspace ONE, а затем использовали свежую  ошибку в свои атаках для бокового перемещения внутри сетей и эскалации доступа.

Сообщается, что хакеры установили веб-шелл в системе VMWare Workspace ONE, а затем сгенерировали учетные данные SAML для себя. Затем они использовали эти учетные данные для получения доступа и кражи конфиденциальных данных с серверов Microsoft ADFS компании-жертвы.

АНБ не раскрывает названий хак-групп, которые уже эксплуатируют данный баг, но предупреждает организации, чтобы они не относились к проблеме легкомысленно.

3 комментария

  1. Аватар

    Dmitry Morozov

    09.12.2020 в 01:02

    АНБ похоже тоже статью где говорили про то что обход песочницы для крупных организаций читало (=

  2. Аватар

    Laglag

    10.12.2020 в 18:14

  3. Аватар

    ИТ МКС

    14.12.2020 в 11:09

    До конца не уверен, но, возможно, глубокоуважаемому (на самом деле) Хакеру не стоит однозначно указывать «российские правительственные хакеры», т.к. доказательств, скорее всего, как обычно нет.

Оставить мнение