سوءاستفاده مهاجمان روسی از آسیب‌پذیری جدید VMware

آژانس امنیت ملی ایالات متحده (NSA) نسبت به بهره‌جویی مهاجمان از یک آسیب‌پذیری امنیتی در برخی محصولات شرکت وی‌ام‌ور (VMware) هشدار داده‌ است.

اصلاحیه آسیب‌پذیری مذکور به شناسه CVE-2020-4006 از 13 آذر در دسترس قرار گرفته است.

بر اساس گزارش NSA گروهی از مهاجمان روسی با پشتوانه دولتی با توزیع برنامه‌های موسوم به Web Shell مخرب سرورهای آسیب‌پذیر را مورد بهره‌جویی قرار داده و اقدام به سرقت اطلاعات حساس می‌کنند.

به گزارش شرکت مهندسی شبکه گستر، محصولات زیر از CVE-2020-4006 تأثیر می‌پذیرد:

• VMware Workspace One Access 20.01, 20.10
• VMware Identity Manager (vIDM) 3.3.1 up to 3.3.3
• VMware Identity Manager Connector (vIDM Connector) 3.3.1, 3.3.2
• VMware Identity Manager Connector (vIDM Connector) 3.3.1, 3.3.2, 3.3.3 / 19.03.0.0, 19.03.0.1
• VMware Cloud Foundation 6 4.x
• VMware vRealize Suite Lifecycle Manager 7 8.x

در جریان این حملات مهاجمان با اتصال به کنسول مدیریتی  محصولات آسیب‌پذیر وی‌ام‌ور که در معرض اینترنت قرار گرفته‌اند اقدام به رخنه به شبکه سازمان و نصب برنامه‌های Web Shell از طریق تزریق فرمان (Command Injection) می‌کنند.

پس از توزیع برنامه‌های Web Shell، مهاجمان با استفاده از اصالت‌سنجی‌های SAML و اتصال به سرورهای Active Directory Federation Services – به اختصار ADFS – داده‌های حساس را سرقت می‌کنند.

بهره‌جویی موفق از این آسیب‌پذیری مهاجمان را قادر به اجرای فرامین Linux بر روی دستگاه‌های هک‌شده و در نتیجه ماندگار کردن خود می‌کند.

پیش‌تر و در پی افشای عمومی آسیب‌پذیری مذکور، وی‌ام‌ور اقدام به انتشار راهکاری موقت برای مقاوم‌سازی محصولات خود در برابر CVE-2020-4006 کرده بود. بنابراین در صورت فراهم نبودن امکان انجام به‌روزرسانی، پیاده‌سازی این راهکار می‌تواند گزینه‌ای موقت باشد.

توصیه‌نامه وی‌ام‌ور در خصوص آسیب‌پذیری CVE-2020-4006 در لینک زیر قابل مطالعه است:

• https://kb.vmware.com/s/article/81754

مشروح هشدار NSA نیز در لینک زیر قابل دریافت است:

• https://media.defense.gov/2020/Dec/07/2002547071/-1/-1/0/CSA_VMWARE%20ACCESS_U_OO_195076_20.PDF