Az amerikai Nemzetbiztonsági Ügynökség, az NSA a VMware Workstation biztonsági réseire figyelmeztet, illetve arra is, hogy a vállalatoknak és a kormányzati szerveknek ezeket a lehető leghamarabb javítaniuk kell.
A Covid–19-járvány következtében a világ irodai dolgozói eddig sohasem látott mértékben kénytelenek az idén otthon dolgozni. Ez a decentralizált rendszer számtalan lehetőséget teremt a hackerek számára, akik ezt persze alaposan ki is használják. Az amerikai Nemzetbiztonsági Ügynökség (NSA) egy jelentésében arra emlékeztetett, hogy az orosz állam által támogatott csoportok aktívan támadják a VMware által kifejlesztett több vállalati távmunkaplatform sebezhetőségpontjait.
Maga a VMware csütörtökön kiadott egy biztonsági közleményt, amely részleteket tartalmaz a javításokról és azon megoldásokról, amelyekkel javítható az a szoftveres hiba, amelyet az orosz kormány által használt hackerek arra használtak, hogy a céladatokhoz hozzáférkőzhessenek.
Olyan intézményekről van szó, amelyek a járványhelyzethez alkalmazkodva biztonságos távoli hozzáférést nyújtanak az alkalmazottaiknak a vállalati rendszerekhez. Az olyan eszközök, mint a VPN, olyan biztonsági réseket tartalmaznak, amelyek révén ezek különösen népszerű célpontokká válnak, és a támadók bejuthatnak a belső vállalati hálózatokba is.
Például a Pulse Secure VPN-t érintő sebezhetőségek egy csoportját 2019 áprilisában javították, mégis az amerikai hírszerző és védelmi ügynökségek, mint például a Kiberbiztonsági és Infrastruktúra Biztonsági Ügynökség (Cybersecurity and Infrastructure Security Agency, vagy rövidebben csak: CISA), 2019 októberében, januárban és áprilisban ismét figyelmeztetéseket adtak ki, hogy a hackerek még mindig támadnak olyan szervezeteket – beleértve a kormányzati szerveket is –, amelyek nem frissítették javítással ezt az alkalmazást.
December harmadikán a CISA ki is adott egy rövid tanácsadást, amely arra ösztönözte az adminisztrátorokat, hogy haladéktalanul javítsák ki a VMware sebezhetőségét.
A támadók úgy tudják kihasználni ezt a biztonsági rést, hogy átveszik az érintett rendszer irányítását.
– figyelmeztet az amerikai kiberbiztonsági ügynökség közleménye.
Ben Read, a FireEye fenyegetéselhárító cég kiberkémelemzésének vezetője szerint:
Ez egy távoli kódfuttatási sebezhetőség, olyasmi, amelyet persze minden épeszű ember magától is ki akar javítani, de az ilyen betörések néha mégis előfordulnak. Az NSA valószínűleg azért csinál ilyen nagy ügyet az egészből, mert oroszokról van szó, akik feltehetően nemzetbiztonsági szempontból rendkívül fontos célpontokat próbálnak feltörni.
Az érintett VMware-termékek mind felhő-infrastruktúrához és identitáskezeléshez kapcsolódnak, beleértve a VMware Workspace One Accesst, annak elődjét, a VMware Identity Managert és a VMware Cloud Foundationt is. A VMware közleménye szerint „a probléma bejelentése után a cég dolgozott a probléma felmérésén, és a megfelelő frissítéseket és javításokat biztosította a probléma enyhítésére”.
A vállalat tanácsadójában megjegyezte, hogy a hiba súlyosságát „fontosnak” minősíti, amely egy szinttel a
„ kritikus” alatt található, lévén a támadóknak először meg kell birkózniuk egy webalapú, jelszóval védett kezelőfelülettel, hogy ki tudják használni – következő lépésként – a biztonsági rést. Az NSA szerint az interfész erős, egyedi jelszóval történő védelme vagy annak beállítása, hogy az ne legyen elérhető a nyilvános internetről, egyaránt csökkenthetik a támadás kockázatát. Szerencsére a VMware által használt, az érintett rendszereket védelmező, alapértelmezett jelszóit a támadóknak igen nehéz feltörniük.
Ha a hackerek mégis be tudnak törni, akkor kihasználhatják a biztonsági rést a „SAML-állításoknak” nevezett hitelesítési kérelmek felhasználásával, hogy mélyebben behatolhassanak a szervezet hálózatába. Emellett használhatják ezt a pozíciót más, esetlegesen érzékeny, nemzetbiztonsági információkat tartalmazó kiszolgálók elérésére is.
A FireEye kiberbiztonsági cég kihangsúlyozta, hogy bár a hiba kihasználásához először egy feltört jelszóra van szükség, de ez nem felülmúlhatatlan akadály, különösen azon agyafúrt orosz hackerek számára, akik olyan hitelesítő adatlopási technikák birtokában vannak, mint a „jelszavak szórása”.
Az NSA azért figyelmeztetett minderre, mert bár elméletileg nem ez a legsúlyosabb biztonsági rés, de ők maguk látták, hogy ezt mégis fel tudják használni a hackerek.
– hangsúlyozta a cég szóvivője.
Az az alapvető probléma a távmunkával, hogy nehéz használni a hagyományos hálózati megfigyelő eszközöket a gyanús viselkedés kiszűrésére. Az NSA szerint a VMware hibához hasonló biztonsági rések hatalmas kihívást jelentenek, mivel a hackerek a webes felület titkosított kapcsolatain keresztül próbálnak betörni, nem különböztethetők meg a jogos bejelentkezésektől. Az NSA azt javasolja, hogy a szervezetek fésüljék át szervernaplóikat az úgynevezett „exit utasítások” miatt, amelyek gyanús tevékenységre utalhatnak.
Bár az NSA konkrétumokkal nem szolgált arra vonatkozólag, hogy az orosz állam által támogatott kiberbűnözők kihasználták volna a szóban forgó VMware-hibát, de azt hangsúlyozták, hogy
a Kreml hackerei egész 2020-ban aktívak voltak az Egyesült Államokban,
kompromittálva a kormányt, az energiaszektort, és más kritikus infrastruktúra-hálózatokat, valamint az elnökválasztást is próbálták megzavarni.
A FireEye's Read ugyanakkor rámutat, hogy az elmúlt néhány évben kevesebb nyilvános leleplezés történt az orosz állami hackerek által használt ún. „nullanapos” támadásokról, a Kreml által támogatott hackercsoportok ugyanis inkább a nyilvánosan ismertebb eszközöket részesítették előnyben. Az NSA megállapításai mégis azt mutatják, hogy az orosz kiberbűnözők továbbra is próbálkoznak „új utakon járva” saját módszerekeit kibővíteni és kiaknázni.