21 декабря 2020 г.
Уязвимость федеративной аутентификации VMware позволила хакерам, взломавшим платформу SolarWinds, получить доступ к защищенным данным критически важных организаций, пишет сайт KrebsOnSecurity.
Агентство национальной безопасности США (АНБ) предупредило 7 декабря, что уязвимость программного обеспечения VMware была использована российскими хакерами, чтобы выдать себя за правомочных пользователей взломанных сетей. Чтобы реализовать этот эксплойт, хакерам нужно было проникнуть внутрь корпоративной сети жертвы, и это, по-видимому, было достигнуто с помощью взлома SolarWinds, поясняет KrebsOnSecurity со ссылкой на АНБ.
VMware сообщила CRN, что не обнаружила никаких указаний на то, что ее уязвимость «была использована после взлома SolarWinds», подчеркнув, что, получив предупреждение АНБ, она еще 3 декабря выпустила обновление своего ПО, устранившее данную уязвимость.
В некоторых собственных сетях VMware использовались уязвимые версии платформы сетевого мониторинга SolarWinds Orion, признала компания, заверив, однако, что проведенное расследование до сих пор не выявило никаких свидетельств эксплойта.
Акции VMware упали на 7,47 долл. (-5,04%) до 140,63 долл. после появления новости на сайте KrebsOnSecurity в 13:30 ET в пятницу.
«Мы выявили ограниченное количество инстансов уязвимого ПО SolarWinds Orion в своей среде, но наше внутреннее расследование не обнаружило никаких признаков эксплойта, — сообщает VMware в своем заявлении. — Это подтверждено и собственным расследованием SolarWinds на данный момент».
Не прошло и суток после предупреждения АНБ, как FireEye сообщила о взломе ее системы безопасности, целью которого было получения информации о некоторых ее клиентах среди государственных органов. SolarWinds сообщила, что в субботу ее главный управляющий Кевин Томпсон (Kevin Thompson) был предупрежден компанией FireEye о существовании «лазейки» в платформе Orion, и вскоре компания обнаружила, что стала жертвой кибератаки, которая затронула инструментарий Orion и ее внутренние системы.
Единственными организациями частного сектора, пострадавшими от взлома через SolarWinds, Reuters назвал FireEye и Microsoft — последняя была названа в четверг, при этом утверждалось также, что собственные продукты Microsoft были затем использованы российскими хакерами, оплаченными государством, для расширения фронта атаки на другие организации.
Microsoft сообщила CRN в четверг, что источники Reuters «неправильно информированы или неверно истолковывают информацию», но признала, что выявила «вредоносные двоичные файлы SolarWinds» в своей среде. Власти США заявили также в четверг, что есть свидетельства других векторов атак помимо SolarWinds Orion, добавив, что эти методы взлома всё еще исследуются.
Агентство кибербезопасности и инфраструктурной безопасности США (CISA) сообщило в четверг, что его специалисты наблюдали, как хакеры добавляли маркеры и учетные данные аутентификации к высокопривилегированным учетным записям домена Microsoft Active Directory, чтобы «прописаться» в сети и расширять фронт атаки. Во многих случаях, указывает CISA, такие маркеры дают доступ к локальным и хостинговым ресурсам.
Одним из главных способов сбора информации о жертвах является взлом сертификата подписи языка разметки декларации безопасности (SAML) с использованием полученных расширенных привилегий Active Directory, указывает CISA. Сертификаты SAML обычно используют хостинговые службы электронной почты и хостинговые приложения бизнес-анализа, системы учета рабочего времени и командировочных расходов и службы хранения файлов (в частности, SharePoint), сообщает CISA.
В предупреждении АНБ от 7 декабря также говорилось, что уязвимость продуктов VMware Access и VMware Identity Manager «дала возможность установки веб-оболочки и последующих злонамеренных действий, в ходе которых генерировались учетные данные в виде подтверждений подлинности SAML и отправлялись службам федерации Active Directory (ADFS), которые, в свою очередь, предоставляли злоумышленникам доступ к защищенным данным».
Службы Microsoft ADFS могут использоваться для объединения удостоверений с VMware Identity Manager, поясняет АНБ в своем предупреждении в четверг. Взломав единую аутентификацию, хакеры могут злонамеренно использовать доверие, установленное между интегрированными компонентами.
Злоумышленники стремятся взломать VMware Identity Manager, чтобы получить доступ к облачным сервисам, таким как Microsoft Office 365, после чего они могут отслеживать или извлекать электронные письма и документы, хранящиеся в среде Office 365, поясняет АНБ.
© 2020. The Channel Company LLC. Initially published on CRN.com, a The Channel Company website, at https://www.crn.com. Reprinted with permission.
Источник: Майкл Новинсон, CRN/США