الأخبار

وكالة الأمن القومي: قراصنة روس يستغلون ضعف برنامج VMware

NSA: Russian Hackers Exploiting VMware Vulnerability
 
أصدرت وكالة الأمن القومي الأمريكية يوم الاثنين تحذيرًا مفاده أن جهات التهديد الروسية التي ترعاها الدولة تحاول استغلال ثغرة معروفة في العديد من منتجات VMware، ويجب على الوكالات الفيدرالية تطبيق الإصلاحات في أقرب وقت ممكن.

يغطي التنبيه العديد من منتجات VMware Access و VMware Identity Manager، وتحذر وكالة الأمن القومي من أن المهاجم الناجح يمكنه تنفيذ أوامر بامتيازات غير مقيدة على نظام التشغيل الأساسي. تشجع وكالة الأمن القومي نظام الأمن القومي ومسئولي شبكة قاعدة الدفاع الصناعية بوزارة الدفاع الأمريكية على إعطاء الأولوية لتقليل الثغرة الأمنية على الخوادم المتأثرة.

تقول وكالة الأمن القومي: "تستغل الجهات الفاعلة السيبرانية الخبيثة التي ترعاها الدولة الروسية ثغرة أمنية في منتجات VMware Access و VMware Identity Manager، مما يسمح للجهات الفاعلة بالوصول إلى البيانات المحمية وإساءة استخدام المصادقة الموحدة".

لم تشرح وكالة الأمن القومي كيف نسبت هذا النشاط إلى الجهات الفاعلة التي ترعاها الدولة الروسية، ولا الوكالات الفيدرالية التي ربما تكون مستهدفة حتى الآن.

تركز المشكلة على ثغرة أمنية في حقن الأوامر، تم تتبعها على أنها CVE-2020-4006، والتي أصدرت VMware تصحيحًا لها يوم الخميس. تشمل منتجات الشركة المتأثرة ما يلي:
 
  • VMware Access 3 20.01 and 20.10 on Linux4
  • VMware vIDM 5 3.3.1, 3.3.2, and 3.3.3 on Linux
  • VMware vIDM Connector 3.3.1, 3.3.2, 3.3.3, 19.03
  • VMware Cloud Foundation 6 4.x
  • VMware vRealize Suite Lifecycle Manager 7 8.x
 
تشجع VMware بشدة جميع العملاء على زيارة VMSA-2020-0027 كمصدر مركزي للمعلومات لهذه المشكلة، كما تخبر الشركة مجموعة Information Security Media Group.
 
استغلال Exploitation
تشير وكالة الأمن القومي NSA إلى أن استغلال هذه الثغرة الأمنية ليس بالأمر السهل، لأنه يتطلب وصولاً مصدقًا يعتمد على كلمة المرور إلى واجهة إدارة الجهاز المشفرة باستخدام TLS. إضافة إلى مستوى الصعوبة لأي متسلل هو شرط تعيين كلمة المرور في وقت نشر البرنامج، مما يلغي الحاجة إلى كلمة مرور افتراضية يمكن العثور عليها واستغلالها من قبل المهاجم.

تعمل واجهة هذا البرنامج عادةً عبر المنفذ 8443، ولكن يمكن تشغيلها عبر أي منفذ يحدده المستخدم، كما يقول التنبيه.

يتم استغلال الثغرة الأمنية من خلال حقنة الأمر التي تؤدي إلى تثبيت قذيفة ويب وتتبع في نشاط ضار يحدث، حيث يتم إنشاء بيانات الاعتماد في شكل تأكيدات مصادقة لغة ترميز تأكيد الأمان وإرسالها إلى خدمات اتحاد الدليل النشط من Microsoft، والتي في المقابل، يمنح التنبيه الجهات الفاعلة الوصول إلى البيانات المحمية.

يقول التنبيه: "من المهم عند تشغيل المنتجات التي تنفذ المصادقة أن يتم تكوين الخادم وجميع الخدمات التي تعتمد عليه بشكل صحيح للتشغيل والتكامل الآمنين. وإلا، يمكن تزوير تأكيدات SAML، مما يمنح الوصول إلى موارد عديدة".

يقول Mike Hamilton، نائب رئيس مجلس إدارة وزارة الأمن الداخلي، والحكومة المحلية والقبلية والإقليمية ، والمسئول الحالي عن CISO في CI Security، إنه مع نشر التصحيح، أصبحت الآن منافسة بين الأنظمة التي يتم تحديثها والجهات الفاعلة في التهديد التي تحاول سرقة أوراق الاعتماد .

"من المؤكد أن موظفي تكنولوجيا المعلومات الفيدراليين على رأس عملية التصحيح، حيث يتم توجيه هذه التحذيرات إليهم مباشرةً وقد تم توضيح أنهم يمثلون جمهورًا مستهدفًا مهمًا. إذا لم يتم استخدام المصادقة متعددة العوامل- ويبدو أن هناك بعض التباين- فهذا إنه سباق عاجل حيث يمكننا أن نفترض بشكل موثوق أن المستخدمين سيستمرون في الخداع"، كما أخبر مجموعة Information Security Media Group.
 
كشف التسلل Detecting an Intrusion
إذا تمكن المهاجم من تلبية المعايير المذكورة أعلاه وتمكينه من الوصول، فإن تنبيه وكالة الأمن القومي يشير إلى أنه من الصعب اكتشاف التسلل.

يقول التنبيه: "من غير المحتمل أن تكون المؤشرات المستندة إلى الشبكة فعالة في اكتشاف الاستغلال نظرًا لأن النشاط يحدث حصريًا داخل نفق أمان طبقة النقل المشفر TLS المرتبط بواجهة الويب".

حيث يمكن رصد التطفل في سجلات الخادم. تقول وكالة الأمن القومي إن وجود بيان "exit" متبوعًا بأي رقم مكون من ثلاثة أرقام داخل configurator.log قد يشير إلى أن نشاط الاستغلال ربما حدث على النظام. يمكن العثور على هذا السجل على /opt/vmware/horizon/workspace/logs/configurator.log على الخادم.