¿VMware Flaw es un vector en SolarWinds Breach? – Krebs sobre seguridad


Las agencias de ciberseguridad del gobierno de EE. UU. Advirtieron esta semana que los atacantes detrás de la ola de piratería generalizada derivada del compromiso de la empresa de computer software de pink SolarWinds utilizaron debilidades en otros productos que no son de SolarWinds para atacar objetivos de alto valor. Según las fuentes, entre ellas se encontraba una falla en la plataforma de virtualización de computer software. VMware, que la Agencia de Seguridad Nacional de EE. UU. (NSA) advirtió el 7 de diciembre que los piratas informáticos rusos estaban utilizando a los usuarios autorizados en las redes de las víctimas.

El 7 de diciembre de 2020, la NSA dijo que “los ciber actores malintencionados patrocinados por el estado ruso están explotando una vulnerabilidad en Acceso a VMware y Administrador de identidades de VMware productos, permitiendo a los actores acceder a datos protegidos y abusando de la autenticación federada «.

VMware lanzado una actualización de computer software tapar el agujero de seguridadCVE-2020-4006) el 3 de diciembre y dijo que se enteró de la falla de la NSA.

La NSA consultivo (PDF) llegó menos de 24 horas antes de que la empresa de respuesta a incidentes cibernéticos FireEye dijo descubrió que los atacantes habían irrumpido en sus redes y robado más de 300 herramientas de computer software patentadas que la empresa desarrolló para ayudar a los clientes a proteger sus redes.

El 13 de diciembre, FireEye divulgado que el incidente fue el resultado del compromiso de SolarWinds, que implicó la inserción subrepticia de código malicioso en las actualizaciones enviadas por SolarWinds para los usuarios de su Orión software de gestión de pink desde marzo de 2020.

En su aviso sobre la vulnerabilidad de VMware, la NSA instó a parchearlo «lo antes posible», alentando específicamente al Sistema de Seguridad Nacional, el Departamento de Defensa y los contratistas de defensa a que lo hagan una alta prioridad.

La NSA dijo que para explotar esta falla en unique, los piratas informáticos ya necesitarían tener acceso a la interfaz de administración de un dispositivo VMware susceptible, es decir, necesitarían estar en la crimson interna del objetivo (siempre que la interfaz VMware susceptible no fuera accesible desde el Internet). Sin embargo, el compromiso de SolarWinds habría proporcionado ese acceso interno muy bien.

En respuesta a las preguntas de KrebsOnSecurity, VMware dijo que «no ha recibido ninguna notificación o indicación de que el CVE 2002-4006 se haya utilizado junto con el compromiso de la cadena de suministro de SolarWinds».

VMware agregó que si bien algunas de sus propias redes usaban el susceptible application SolarWinds Orion, una investigación hasta ahora no ha revelado evidencia de explotación.

«Si bien hemos identificado casos limitados del software SolarWinds Orion susceptible en nuestro entorno, nuestra propia investigación interna no ha revelado ningún indicio de explotación», dijo la compañía en un comunicado. «Esto también ha sido confirmado por las propias investigaciones de SolarWinds hasta la fecha».

La NSA aún no ha respondido a las solicitudes de comentarios.

El 17 de diciembre, el DHS Agencia de Seguridad Cibernética e Infraestructura (CSIA) lanzado una alerta aleccionadora sobre el ataque SolarWinds, señalando que CISA tenía evidencia de vectores de acceso adicionales además de la plataforma SolarWinds Orion.

El aviso de CSIA señaló específicamente que «una de las principales formas en que el adversario está logrando este objetivo es comprometiendo el Lenguaje de marcado de afirmación de seguridad (SAML) certificado de firma con sus privilegios de Active Directory escalados. Una vez que esto se logra, el adversario crea tokens no autorizados pero válidos y los presenta a los servicios que confían en tokens SAML del entorno. Estos tokens se pueden usar para acceder a recursos en entornos alojados, como el correo electrónico, para la exfiltración de datos a través de interfaces de programación de aplicaciones (API) autorizadas «.

De hecho, el aviso del 7 de diciembre de la NSA dijo que la actividad de piratería que vio relacionada con la vulnerabilidad de VMware “llevó a la instalación de un shell world wide web y a la actividad maliciosa de seguimiento donde se generaron credenciales en forma de aserciones de autenticación SAML y se enviaron a Microsoft Energetic Directory Federation Providers (ADFS), que a su vez otorgó a los actores acceso a datos protegidos «.

También el 17 de diciembre, la NSA publicó un aviso mucho más detallado explicando cómo ha visto la vulnerabilidad de VMware que se utiliza para falsificar tokens SAML, esta vez haciendo referencia específica al compromiso de SolarWinds.

El análisis de CSIA sugirió que los delincuentes detrás de la intrusión de SolarWinds estaban muy centrados en hacerse pasar por personalized de confianza en las redes objetivo y que habían ideado formas inteligentes de eludir los sistemas de autenticación multifactor (MFA) que protegen las redes a las que apuntaban.

El boletín hace referencia a la investigación publicada a principios de esta semana por la empresa de seguridad. Volexidad, cual descrito encontrarse con los mismos atacantes utilizando una técnica novedosa para eludir las protecciones MFA proporcionadas por Dúo para Aplicación world-wide-web de Microsoft Outlook (OWA) usuarios.

Padre de Duo Cisco Units Inc. respondió que el ataque descrito por Volexity no tenía como objetivo ninguna vulnerabilidad específica en sus productos. Como Ars Technica explicado, el desvío que involucra las protecciones de Duo podría haber involucrado fácilmente a cualquiera de los competidores de Duo.

«El modelado de amenazas MFA generalmente no incluye un compromiso completo del sistema de un servidor OWA», «Ars» Dan Goodin escribió. «El nivel de acceso que logró el hacker fue suficiente para neutralizar casi cualquier defensa».

Varios medios de comunicación, incluidos Los New York Instances y El Washington Article, han citado fuentes gubernamentales anónimas que dicen que el grupo detrás de los ataques de SolarWinds era conocido como APT29 o «Cozy Bear, ”Un grupo de amenazas avanzadas que se cree que es parte del Servicio de Seguridad Federal Ruso (FSB).

SolarWinds ha dicho que casi 18.000 clientes pueden haber recibido las actualizaciones del software Orion con puerta trasera. Hasta ahora, solo un puñado de clientes apuntados por los presuntos piratas informáticos rusos detrás del compromiso de SolarWinds se han hecho públicos, incluidos los departamentos de Comercio, Energía y Tesoro de EE. UU. Y el DHS.

Sin duda, escucharemos sobre nuevas víctimas en el sector público y privado en los próximos días y semanas. Mientras tanto, miles de organizaciones se enfrentan a un trabajo increíblemente costoso, disruptivo y que requiere mucho tiempo para determinar si se vieron comprometidas y, de ser así, qué hacer al respecto.

El aviso de CSIA señala que los atacantes detrás de SolarWinds comprometen al particular clave dirigido a las empresas víctimas, incluido el particular de respuesta a incidentes cibernéticos y las cuentas de correo electrónico de TI. La advertencia sugiere que las organizaciones que sospechan que fueron víctimas deben asumir que sus comunicaciones por correo electrónico y el tráfico de la pink interna están comprometidos, y confiar o construir sistemas fuera de banda para discutir internamente cómo procederán para limpiar el desorden.

«Si el adversario ha comprometido las credenciales de nivel administrativo en un entorno, o si las organizaciones identifican el abuso de SAML en el entorno, la easy mitigación de problemas individuales, sistemas, servidores o cuentas de usuario específicas probablemente no conducirá a la eliminación del adversario de la crimson», CSIA prevenido. “En tales casos, las organizaciones deben considerar comprometido todo el almacén de confianza de identidad. En el caso de un compromiso complete de la identidad, se requiere una reconstitución completa de los servicios de identidad y confianza para remediar con éxito. En esta reconstitución, vale la pena repetir que este actor de amenazas se encuentra entre los más capaces y, en muchos casos, una reconstrucción completa del medio ambiente es la acción más segura «.


Etiquetas: APT 29, Ars Technica, Cozy Bear, CSIA, Cyber ​​Security and Infrastructure Stability Company, Duo, FSB, Microsoft Outlook Website App, New York Occasions, nsa, compromiso de token SAML, Stability Assertion Markup Language, Agencia de Seguridad Nacional de EE. UU., VMware , Volexidad, Washington Write-up

Esta entrada se publicó el viernes 18 de diciembre de 2020 a las 1:33 p.m. y está archivada en Violaciones de datos, The Coming Storm.
Puede seguir cualquier comentario a esta entrada a través del feed RSS 2..

Puede saltar hasta el closing y dejar un comentario. Pinging no está permitido actualmente.



Enlace a la noticia primary