La NSA advierte sobre exploits dirigidos recientemente a …



La agencia insta a las organizaciones a implementar el parche lo antes posible, ya que la actividad de explotación es difícil de detectar.

La Agencia de Seguridad Nacional de EE. UU. (NSA) advirtió el lunes a los administradores de crimson del Departamento de Defensa y del Sector de Foundation Industrial de Defensa que los piratas informáticos respaldados por el estado ruso están explotando activamente una falla de seguridad en Workspace 1 Access de VMware y tecnologías relacionadas para acceder a datos confidenciales.

El aviso instó a las organizaciones a implementar un parche que VMware ha lanzado para la vulnerabilidad lo más rápido posible. Para las organizaciones que no pueden solucionar el problema de inmediato, la NSA señaló una solución que VMware sugirió para deshabilitar un componente clave necesario para aprovechar la vulnerabilidad.

«Esta solución solo debería ser una solución temporal hasta que se pueda parchear completamente el sistema», dijo la NSA advertido. «Además, revise y refuerce las configuraciones y el monitoreo de los proveedores de autenticación federados».

La vulnerabilidad (CVE-2020-4006) ser explotado es un falla de inyección de comando que VMware reveló por primera vez el 23 de noviembre. Existe en VMware Workspace A person Obtain, Entry Connector, Id Supervisor, Identity Supervisor Connector, VMware Cloud Basis y vRealize Suite Lifecycle Manager.

VMware emitió una solución para la falla el 3 de diciembre. La compañía describió el problema como una vulnerabilidad de inyección de comandos, que permite a los atacantes ejecutar comandos maliciosos con privilegios no restringidos en el sistema operativo subyacente.

Pero para explotar la vulnerabilidad, un atacante necesitaría tener acceso al puerto TCP / UDP 8843 y también una contraseña válida para la cuenta de administrador del configurador, o la interfaz de administración basada en internet de un dispositivo vulnerable.

«Esta cuenta es interna de los productos afectados y se establece una contraseña en el momento de la implementación», dijo VMware en su anuncio de vulnerabilidad.

Un actor malintencionado necesitaría esta contraseña para explotar CVE-2020-4006, dijo el proveedor. La vulnerabilidad se ha evaluado con una puntuación CVSS de 7,2, lo que la convierte en un problema de «importante» a «alta gravedad».

Difícil de detectar
La NSA, que reveló la vulnerabilidad a VMware, advirtió que es poco probable que los sistemas de detección de intrusiones basados ​​en la crimson detecten alguna actividad de explotación, ya que todo esto ocurriría exclusivamente dentro del túnel TLS cifrado asociado con la interfaz de administración basada en internet.

«Esa interfaz normalmente se ejecuta en el puerto 8443, pero podría estar en cualquier puerto definido por el usuario», dijo la NSA al instar a las organizaciones a limitar el acceso a la interfaz y bloquear el acceso directo a World wide web.

La NSA dijo que había observado a los atacantes acceder a la interfaz de administración internet y usar la inyección de comandos para instalar shells world wide web en dispositivos vulnerables. Luego generaron afirmaciones de autenticación SAML falsas, que se utilizan para probar la identidad de un usuario, para que los Servicios de federación de Active Directory de Microsoft (ADFS) les otorguen acceso a datos protegidos, dijo la NSA.

«Cuando se ejecutan productos que realizan autenticación, es basic que el servidor y todos los servicios que dependen de él estén configurados correctamente para una operación e integración seguras», dijo la NSA.

Las organizaciones que utilizan ADFS también deberían considerar la implementación de la autenticación multifactor para proteger las afirmaciones SAML. De lo contrario, los atacantes podrían falsificar afirmaciones SAML para obtener acceso a numerosos recursos protegidos, dijo la NSA.

en un aviso por separado, VMware describió las medidas de mitigación específicas que las organizaciones que ejecutan dispositivos Linux y servidores Home windows pueden tomar para evitar que los atacantes abusen de la falla.

El aviso de la NSA enumeró indicadores específicos de compromiso a los que las organizaciones deberían estar atentos.

«Supervise con regularidad los registros de autenticación en busca de autenticaciones anómalas, especialmente las exitosas que aprovechan los fideicomisos establecidos pero que provienen de direcciones inusuales o contienen propiedades inusuales», dijo.

Jai Vijayan es un reportero de tecnología experimentado con más de 20 años de experiencia en periodismo comercial de TI. Más recientemente, fue editor senior en Computerworld, donde cubrió temas de seguridad de la información y privacidad de datos para la publicación. En el transcurso de sus 20 años … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia original