No se revelaron detalles específicos sobre las identidades del actor de amenazas que explota la falla de VMware o cuándo comenzaron estos ataques.
El desarrollo se produce dos semanas después de que la compañía de software de virtualización revelara públicamente la falla, que afecta a los productos VMware Workspace One Access, Access Connector, Identity Manager e Identity Manager Connector para Windows y Linux, sin lanzar un parche y tres días después de lanzar una actualización de software para arreglalo.
A fines de noviembre, VMware impulsó soluciones temporales para abordar el problema, indicando que los parches permanentes para la falla estaban «próximos». Pero no fue hasta el 3 de diciembre que el error de escalada de privilegios se resolvió por completo.
Ese mismo día, la Agencia de Seguridad de Infraestructura y Ciberseguridad de los EE. UU. (CISA) emitió un breve boletín en el que alentaba a los administradores a revisar y aplicar y parchear lo antes posible.
Registrada como CVE-2020-4006 , la vulnerabilidad de inyección de comandos recibió originalmente una puntuación CVSS de 9.1 de un máximo de 10, pero se revisó la semana pasada a 7.2 para reflejar el hecho de que un actor malintencionado debe poseer credenciales válidas para la cuenta de administrador del configurador. para intentar la explotación.
«Esta cuenta es interna de los productos afectados y se establece una contraseña en el momento de la implementación», dijo VMware en su aviso . «Un actor malintencionado debe poseer esta contraseña para intentar explotar CVE-2020-4006».
Aunque VMware no mencionó explícitamente que el error estaba bajo explotación activa en la naturaleza, según la NSA, los adversarios ahora están aprovechando la falla para lanzar ataques para robar datos protegidos y abusar de los sistemas de autenticación compartidos.
«La explotación a través de la inyección de comandos llevó a la instalación de un shell web y la actividad maliciosa de seguimiento donde se generaron credenciales en forma de aserciones de autenticación SAML y se enviaron a Microsoft Active Directory Federation Services, que a su vez otorgó a los actores acceso a datos protegidos, «dijo la agencia.
SAML o Security Assertion Markup Language es un estándar abierto y un marcado basado en XML para intercambiar datos de autenticación y autorización entre proveedores de identidad y proveedores de servicios para facilitar el inicio de sesión único (SSO).
Además de instar a las organizaciones a actualizar los sistemas afectados a la última versión, la agencia también recomendó proteger la interfaz de administración con una contraseña única y segura.
Además, la NSA recomendó a las empresas que monitoreen regularmente los registros de autenticación en busca de autenticaciones anómalas, así como que escaneen los registros de sus servidores en busca de «declaraciones de salida» que puedan sugerir una posible actividad de explotación.
