La Agencia de Seguridad Nacional de EE. UU. (NSA) emitió el lunes una advertencia de que los actores de amenazas rusos están aprovechando la vulnerabilidad de VMware recientemente revelada para instalar malware en los sistemas corporativos y acceder a datos protegidos.
No se revelaron detalles sobre las identidades del actor de amenazas que explota la falla de VMware o cuándo comenzaron estos ataques.
El desarrollo se produce dos semanas después de que la compañía de software de virtualización divulgara públicamente la falla, que afectaba a los productos VMware Workspace One Access, Access Connector, Identity Manager e Identity Manager Connector para Windows y Linux, sin lanzar un parche y tres días después de lanzar una actualización de software para arreglalo.
A fines de noviembre, VMware impulsó soluciones temporales para abordar el problema, indicando que los parches permanentes para la falla estaban «próximos». Pero no fue hasta el 3 de diciembre que el error de escalada de privilegios se resolvió por completo.
Ese mismo día, la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) emitió un breve boletín alentando a los administradores a revisar, aplicar y parchear lo antes posible.
rastreado como CVE-2020-4006la vulnerabilidad de inyección de comandos recibió originalmente una puntuación CVSS de 9,1 sobre un máximo de 10, pero se revisó la semana pasada a 7,2 para reflejar el hecho de que un actor malicioso debe poseer credenciales válidas para la cuenta de administrador del configurador para intentar la explotación.
«Esta cuenta es interna para los productos afectados y se establece una contraseña en el momento de la implementación», dijo VMware en su aviso. «Un actor malicioso debe poseer esta contraseña para intentar explotar CVE-2020-4006».
Aunque VMware no mencionó explícitamente que el error estaba bajo explotación activa en la naturaleza, según la NSA, los adversarios ahora están aprovechando la falla para lanzar ataques para robar datos protegidos y abusar de los sistemas de autenticación compartidos.
«La explotación a través de la inyección de comandos condujo a la instalación de un shell web y una actividad maliciosa de seguimiento donde se generaron y enviaron credenciales en forma de aserciones de autenticación SAML a Microsoft Active Directory Federation Services, que a su vez otorgó a los actores acceso a datos protegidos. «, dijo la agencia.
SAML o Security Assertion Markup Language es un estándar abierto y un marcado basado en XML para intercambiar datos de autenticación y autorización entre proveedores de identidad y proveedores de servicios para facilitar el inicio de sesión único (SSO).
Además de instar a las organizaciones a actualizar los sistemas afectados a la última versión, la agencia también recomendó asegurar la interfaz de administración con una contraseña única y segura.
Además, la NSA aconsejó a las empresas que supervisen regularmente los registros de autenticación en busca de autenticaciones anómalas, así como que escaneen los registros de su servidor en busca de «declaraciones de salida» que puedan sugerir una posible actividad de explotación.
