سوءاستفاده مهاجمان روسی از آسیبپذیری جدید VMware
آژانس امنیت ملی ایالات متحده (NSA) نسبت به بهرهجویی مهاجمان از یک آسیبپذیری امنیتی در برخی محصولات شرکت ویامور (VMware) هشدار داده است.
اصلاحیه آسیبپذیری مذکور به شناسه CVE-2020-4006 از 13 آذر در دسترس قرار گرفته است.
بر اساس گزارش NSA گروهی از مهاجمان روسی با پشتوانه دولتی با توزیع برنامههای موسوم به Web Shell مخرب سرورهای آسیبپذیر را مورد بهرهجویی قرار داده و اقدام به سرقت اطلاعات حساس میکنند.
به گزارش شرکت مهندسی شبکه گستر، محصولات زیر از CVE-2020-4006 تأثیر میپذیرد:
- VMware Workspace One Access 20.01, 20.10
- VMware Identity Manager (vIDM) 3.3.1 up to 3.3.3
- VMware Identity Manager Connector (vIDM Connector) 3.3.1, 3.3.2
- VMware Identity Manager Connector (vIDM Connector) 3.3.1, 3.3.2, 3.3.3 / 19.03.0.0, 19.03.0.1
- VMware Cloud Foundation 6 4.x
- VMware vRealize Suite Lifecycle Manager 7 8.x
در جریان این حملات مهاجمان با اتصال به کنسول مدیریتی محصولات آسیبپذیر ویامور که در معرض اینترنت قرار گرفتهاند اقدام به رخنه به شبکه سازمان و نصب برنامههای Web Shell از طریق تزریق فرمان (Command Injection) میکنند.
پس از توزیع برنامههای Web Shell، مهاجمان با استفاده از اصالتسنجیهای SAML و اتصال به سرورهای Active Directory Federation Services – به اختصار ADFS – دادههای حساس را سرقت میکنند.
بهرهجویی موفق از این آسیبپذیری مهاجمان را قادر به اجرای فرامین Linux بر روی دستگاههای هکشده و در نتیجه ماندگار کردن خود میکند.
پیشتر و در پی افشای عمومی آسیبپذیری مذکور، ویامور اقدام به انتشار راهکاری موقت برای مقاومسازی محصولات خود در برابر CVE-2020-4006 کرده بود. بنابراین در صورت فراهم نبودن امکان انجام بهروزرسانی، پیادهسازی این راهکار میتواند گزینهای موقت باشد.
توصیهنامه ویامور در خصوص آسیبپذیری CVE-2020-4006 در لینک زیر قابل مطالعه است:
مشروح هشدار NSA نیز در لینک زیر قابل دریافت است: