В конце ноября компания VMware сообщила о 0-day уязвимости CVE-2020-4006 в своей продукции, обнаруженной специалистами АНБ. Сначала специалисты компании рассказали о временных способах защиты от бага, а в конце прошлой недели наконец выпустили исправления.
Проблема влияет на решения для управления эндпоинтами и идентификационными данными, которые часто используются в корпоративных и государственных сетях. Так, баг затронул:
Теперь, когда патчи выпущены, специалисты АНБ опубликовали собственное предупреждение о CVE-2020-4006, где призвали правительственные организации срочно установить исправления из-за продолжающихся атак со стороны российских хакеров.
По сути CVE-2020-4006 представляет собой уязвимость внедрения команд, которая позволяет злоумышленникам выполнять произвольные команды на уровне ОС. Причем багом можно воспользоваться лишь в том случае, если предварительно злоумышленник прошел аутентификацию в панели управления WorkspaceONE. Если это произошло, уязвимость может быть использована для получения полного контроля над любой незащищенной системой VMWare Workspace ONE.
По информации АНБ, уже известно о случаях, когда российские правительственные хакеры получали учетные данные от панели VMWare Workspace ONE, а затем использовали свежую ошибку в свои атаках для бокового перемещения внутри сетей и эскалации доступа.
Сообщается, что хакеры установили веб-шелл в системе VMWare Workspace ONE, а затем сгенерировали учетные данные SAML для себя. Затем они использовали эти учетные данные для получения доступа и кражи конфиденциальных данных с серверов Microsoft ADFS компании-жертвы.
АНБ не раскрывает названий хак-групп, которые уже эксплуатируют данный баг, но предупреждает организации, чтобы они не относились к проблеме легкомысленно.
Источник: xakep.ru/2020/12/07/vmware-0day/
Проблема влияет на решения для управления эндпоинтами и идентификационными данными, которые часто используются в корпоративных и государственных сетях. Так, баг затронул:
- VMware Workspace ONE Access (Access) 20.01 и 10 на Linux;
- VMware Workspace ONE Access Connector (Access Connector)
- VMware Identity Manager (vIDM) 3.3.1, 3.3.2, 3.3.3 на Linux;
- VMware Identity Manager Connector (vIDM Connector) 3.3.1, 3.3.2, 3.3.3, 19.03
- VMware Cloud Foundation 4.x;
- vRealize Suite Lifecycle Manager 8.x.
Теперь, когда патчи выпущены, специалисты АНБ опубликовали собственное предупреждение о CVE-2020-4006, где призвали правительственные организации срочно установить исправления из-за продолжающихся атак со стороны российских хакеров.
По сути CVE-2020-4006 представляет собой уязвимость внедрения команд, которая позволяет злоумышленникам выполнять произвольные команды на уровне ОС. Причем багом можно воспользоваться лишь в том случае, если предварительно злоумышленник прошел аутентификацию в панели управления WorkspaceONE. Если это произошло, уязвимость может быть использована для получения полного контроля над любой незащищенной системой VMWare Workspace ONE.
По информации АНБ, уже известно о случаях, когда российские правительственные хакеры получали учетные данные от панели VMWare Workspace ONE, а затем использовали свежую ошибку в свои атаках для бокового перемещения внутри сетей и эскалации доступа.
Сообщается, что хакеры установили веб-шелл в системе VMWare Workspace ONE, а затем сгенерировали учетные данные SAML для себя. Затем они использовали эти учетные данные для получения доступа и кражи конфиденциальных данных с серверов Microsoft ADFS компании-жертвы.
АНБ не раскрывает названий хак-групп, которые уже эксплуатируют данный баг, но предупреждает организации, чтобы они не относились к проблеме легкомысленно.
Источник: xakep.ru/2020/12/07/vmware-0day/