09/12/2024

Ciberdelincuentes vinculados al estado ruso, explotan la nueva vulnerabilidad de VMware

as personas que ejecutan uno de estos productos deben instalar el parche de VMware lo antes posible. También deben revisar la contraseña utilizada para proteger el producto VMware para asegurarse de que sea seguro

vmware comprometido

Desde rusia con amor

La Agencia de Seguridad Nacional reveló que piratas informáticos del estado ruso están comprometiendo múltiples sistemas VMware en ataques que permiten a los atacantes instalar malware, obtener acceso no autorizado a datos confidenciales y mantener una retención persistente en plataformas de trabajo remoto ampliamente utilizadas.

Los ataques en curso están explotando un error de seguridad que permaneció sin parchear hasta el jueves pasado, informó la agencia el lunes. CVE-2020-4006, como la falla es rastreada, es una falla de inyección de comandos, lo que significa que permite a los atacantes ejecutar comandos de su elección en el sistema operativo que ejecuta el software vulnerable. Estas vulnerabilidades son el resultado de un código que no filtra las entradas inseguras de los usuarios, como los encabezados HTTP o las cookies. VMware parcheó el CVE-2020-4006 después de ser avisado por la NSA.

Los atacantes de un grupo patrocinado por el gobierno ruso están explotando la vulnerabilidad para obtener un acceso inicial a los sistemas vulnerables. Luego suben un Web shell que da una interfaz persistente para ejecutar comandos de servidor. Usando la interfaz de comandos, los hackers eventualmente son capaces de acceder al directorio activo, la parte de los sistemas operativos de los servidores de Microsoft Windows que los hackers consideran el Santo Grial porque les permite crear cuentas, cambiar contraseñas y llevar a cabo otras tareas altamente privilegiadas.

Enlace original:

https://media.defense.gov/2020/Dec/07/2002547071/-1/-1/0/CSA_VMWARE%20ACCESS_U_OO_195076_20.PDF

Para que los atacantes puedan explotar el fallo de VMware, primero deben obtener un acceso autenticado basado en una contraseña a la interfaz de gestión del dispositivo. La interfaz se ejecuta por defecto a través del puerto de Internet 8443. Las contraseñas deben establecerse manualmente al instalar el software, requisito que sugiere que los administradores están eligiendo contraseñas débiles o que las contraseñas están siendo comprometidas por otros medios.

Los ataques activos llegan cuando un gran número de organizaciones han iniciado procedimientos de trabajo desde casa en respuesta a la pandemia de COVID-19. Con muchos empleados que acceden de forma remota a la información confidencial almacenada en las redes corporativas y gubernamentales, el software de VMware desempeña un papel clave en las medidas de seguridad diseñadas para mantener las conexiones seguras.

El fallo de inyección de comandos afecta a las siguientes cinco plataformas de VMware:

VMware Access 3 20.01 y 20.10 en Linux
VMware vIDM 5 3.3.1, 3.3.2 y 3.3.3 en Linux
VMware vIDM Connector 3.3.1, 3.3.2, 3.3.3, 19.03
VMware Cloud Foundation 4.x
VMware vRealize Suite Lifecycle Manager 7 8.x

Las personas que ejecutan uno de estos productos deben instalar el parche de VMware lo antes posible. También deben revisar la contraseña utilizada para proteger el producto VMware para asegurarse de que sea seguro. Tanto la NSA como VMware tienen consejos adicionales para asegurar los sistemas en los enlaces anteriores.

El aviso de la NSA del lunes no identificó el grupo de hackers detrás de los ataques, aparte de decir que estaba compuesto por “ciber actores maliciosos patrocinados por el estado ruso”. En octubre, el FBI y la Agencia de Seguridad Cibernética y de Infraestructura advirtieron que los hackers del estado ruso tenían como objetivo la vulnerabilidad crítica de Windows llamada Zerologon. Ese grupo de hackers rusos tiene muchos nombres, incluyendo Berserk Bear, Energetic Bear, TeamSpy, Dragonfly, Havex, Crouching Yeti, y Koala.

Autor / Redactor / Director