NSAは、ロシア政府のハッカーがVMwareソフトウェアの重大なセキュリティホールを悪用し、被害者のネットワークに侵入していると見ている。システム管理者は必要なパッチをできるだけ早く適用するよう強く求められている。
「ロシア政府が支援する悪意のあるサイバー攻撃者が、VMware AccessおよびVMware Identity Manager製品の脆弱性を悪用し、保護されたデータにアクセスし、フェデレーション認証を悪用している」と月曜日に公開されたサイバーセキュリティ通知[PDF]は警告している。
皆さんへのアドバイス:中国のハッカーはこれらの25の脆弱性を攻撃しているので、できるだけ早くパッチを適用してください、とNSAは述べています
続きを読む
アメリカの諜報機関の通知は、「ネットワーク管理者は影響を受けるサーバーにおける脆弱性の緩和を最優先に行う」よう促し、この場合の最善の解決策は、Webベースの管理インターフェースへのアクセスに、新しく強力かつ固有のパスワードを使用することだと指摘しています。「この脆弱性を悪用するには、パスワードベースのアクセスが必須です」。また、可能な限り、インターフェースをインターネットに接続しないことも推奨しています。
具体的には、クレムリンのチームは CVE-2020-4006、別名 VMSA-2020-0027 をターゲットにしているようです。VMWare はこれを「Workspace One Access、Access Connector、Identity Manager、および Identity Manager Connector のコマンド インジェクションの脆弱性」と説明しています。
基本的に、悪意のある人物が特定の管理者アカウントのパスワードを知っていて(たとえば、IT スタッフにスピアフィッシング攻撃を行ってパスワードを入手した場合)、またはブルートフォース攻撃によってパスワードを推測し、インターネットまたはネットワーク経由で脆弱な展開に到達した場合、ホスト システムでコマンドを実行し、それを乗っ取り、そこからデータを盗み出し、それを使用して他のコンピューターにアクセスするなどが可能になります。
VMware によるこのホールの説明は次のとおりです。
NSAは、「このアクティビティはWebインターフェースに関連付けられた暗号化されたトランスポート層セキュリティ(TLS)トンネル内でのみ発生するため」、システム管理者がネットワークトラフィックを監視しても脆弱性の悪用を検出できない可能性があると警告しています。ただし、サーバーログには何らかの記録が残る可能性があります。
「configurator.log 内に「exit 123」のように 'exit' 文の後に 3 桁の数字が続く場合、システム上でエクスプロイト活動が発生した可能性があることを示唆します」と勧告には記されている。
解決策はそこにある
この脆弱性は11月末に発覚し、VMwareは先週のパッチリリースに先立ち、回避策を公開しました。Virtzillaに「非公開で報告」されており、以前は「重大」とされていたものの、現在は「重要」と評価されています。今すぐインストールを更新して修正しましょう。®
