Según la NSA, los piratas informáticos estatales rusos están utilizando un error de VMware para buscar redes


Bandera rusa en el viento.
Agrandar /. Esa imagen era el banner de perfil de una de las cuentas supuestamente en poder de la Agencia de Investigación de Internet, la organización que realizó campañas de influencia en las redes sociales en Rusia, Alemania, Ucrania y Estados Unidos en 2009.

Un troll ruso

La Agencia de Seguridad Nacional afirma que los piratas informáticos estatales rusos comprometen múltiples sistemas VMware en ataques que les permiten instalar malware, obtener acceso no autorizado a datos confidenciales y mantener plataformas de trabajo remoto generalizadas de forma permanente.

Los ataques en curso aprovechan una falla de seguridad que no se solucionó hasta el jueves pasado, informó la agencia el lunes. CVE-2020-4006 es un error de inyección de comando porque se rastrea el error. Esto significa que los atacantes pueden ejecutar comandos de su elección en el sistema operativo en el que se ejecuta el software vulnerable. Estas vulnerabilidades son el resultado de un código que no filtra la entrada insegura del usuario, como los encabezados HTTP o las cookies. VMware parcheó CVE-2020-4006 después de recibir el aviso de la NSA.

El santo grial de un hacker

Los atacantes pertenecientes a un grupo patrocinado por el gobierno ruso aprovecharon la vulnerabilidad para obtener acceso inicial a los sistemas vulnerables. Luego cargan un shell web que proporciona una interfaz persistente para ejecutar comandos del servidor. Finalmente, a través de la interfaz de comandos, los piratas informáticos pueden acceder a Active Directory, la parte de los sistemas operativos de servidor de Microsoft Windows que los piratas informáticos consideran un santo grial para crear cuentas, cambiar contraseñas y otras tareas con muchos privilegios.

“La explotación de la inyección de comandos resultó en la instalación de un shell web y la subsecuente actividad maliciosa que generó credenciales en forma de aserciones de autenticación SAML y las envió a Microsoft Active Directory Federation Services, que a su vez les dio a los actores acceso a datos protegidos. Los funcionarios de la NSA escribieron en el Cybersecurity Advisory el lunes.

Para que los atacantes puedan explotar el error de VMware, primero deben tener acceso autenticado basado en contraseña a la interfaz de administración del dispositivo. De forma predeterminada, la interfaz se ejecuta en el puerto de Internet 8443. Las contraseñas deben configurarse manualmente al instalar el software. Esto sugiere que los administradores están eligiendo contraseñas débiles o que las contraseñas están comprometidas.

«Un actor malintencionado con acceso de red al configurador de administrador en el puerto 8443 y una contraseña válida para la cuenta de administrador del configurador puede ejecutar comandos con permisos no restringidos en el sistema operativo subyacente», dijo un aviso publicado por VMware el jueves. “Esta cuenta es interna de los productos afectados y se establece una contraseña en el momento de la implementación. Un actor malintencionado debe tener esta contraseña para explotar CVE-2020-4006. «

Los ataques activos se deben al hecho de que una gran cantidad de organizaciones han iniciado procedimientos de trabajo desde casa en respuesta a la pandemia de COVID-19. Dado que muchos empleados acceden de forma remota a información confidencial almacenada en redes corporativas y gubernamentales, el software de VMware juega un papel importante en las salvaguardas diseñadas para mantener las conexiones seguras.

El error de inyección de comando afecta a las siguientes cinco plataformas VMware:

  • VMware Access 3 20.01 y 20.10 en Linux
  • VMware vIDM 5 3.3.1, 3.3.2 y 3.3.3 en Linux
  • Conector VMware vIDM 3.3.1, 3.3.2, 3.3.3, 19.03
  • VMware Cloud Foundation 4.x.
  • VMware vRealize Suite Lifecycle Manager 7 8.x.

Las personas que ejecutan cualquiera de estos productos deben aplicar el parche de VMware lo antes posible. También debe verificar la contraseña que se utiliza para proteger el producto VMware para asegurarse de que sea seguro. Tanto la NSA como VMware tienen orientación adicional sobre cómo proteger los sistemas en los enlaces anteriores.

La evaluación de la NSA del lunes identificó al grupo de piratas informáticos detrás de los ataques solo para decir que está formado por «ciberactores maliciosos patrocinados por el gobierno de Rusia». En octubre, el FBI y la Agencia de Seguridad de Infraestructura y Ciberseguridad advirtieron que los piratas informáticos del gobierno ruso estaban apuntando a la vulnerabilidad crítica de Windows llamada Zerologon. Este grupo de piratería rusa tiene muchos nombres, incluidos Berserk Bear, Energetic Bear, TeamSpy, Dragonfly, Havex, Squatting Yeti y Koala.

Publicación actualizada para corregir los productos afectados.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *