[Информационная безопасность] АНБ утверждает, что российские хакеры атакуют платформы VMware (перевод)
Автор
Сообщение
news_bot ®
Стаж: 6 лет 9 месяцев
Сообщений: 27286
В течение 2020 года из-за пандемии коронавируса огромное количество офисных сотрудников были вынуждены работать удаленно. Эта ситуация предсказуемо вызвала интерес со стороны хакеров. Агентство национальной безопасности США заявило, что группы российских провластных хакеров активно атакуют различные платформы для удаленной работы, используя обнаруженную уязвимость VMWare.
Сам вендор на днях выпустил бюллетень по безопасности, где описал все нужные шаги для устранения уязвимости. Тогда же Агентство кибербезопасности и защиты инфраструктуры (CISA) обратилось к администраторам сетей с призывом немедленно исправить уязвимость. «Хакер мог использовать уязвимость, чтобы взять систему под контроль», — говорится в сообщении. АНБ отдельно просит администраторов сетей Национальной системы безопасности (National Security System), Министерства обороны и всего оборонно-промышленного комплекса страны немедленно устранить уязвимость везде, где это возможно.
Волнуются не везде
Обеспокоенность АНБ разделяют не все. Так, старший специалист по аналитике кибершпионажа в ИБ-компании FireEye Бен Рид говорит, что в этой ситуации важно анализировать не только само сообщение, но и от кого оно исходит. «Эта уязвимость удаленного выполненного кода — то, чего любая компания старается не допустить. Но иногда такое случается. АНБ уделяет этому такое большое внимание, потому что уязвимость использовали люди из России и, предположительно, против важных для АНБ целей», — сказал он.
Все уязвимые продукты VMware относятся к решениям для облачной инфраструктуры и управления учетными данными. Это, например, VMware Cloud Foundation, VMware Workspace One Access и его предшественник VMware Identity Manager. В заявлении самой компании говорится, что «после появления проблемы она провела работу по оценке уязвимости и опубликовала обновления и патчи для ее закрытия». Также отмечается, что ситуация оценивается, как «важная», то есть на один уровень ниже «критической». Причина в том, что хакеры должны иметь доступ к веб-интерфейсу управления, защищенному паролем, прежде чем они смогут воспользоваться уязвимостью. Как только хакер получает доступ, он может использовать уязвимость для манипулирования запросами аутентификации SAML-утверждениями и таким образом проникнуть в сеть организации глубже, чтобы получить доступ к важной информации.
Сама АНБ в своем сообщении говорит, что надежный пароль снижает риск атаки. К счастью, пострадавшие продукты VMWare спроектированы так, чтобы администраторы не использовали пароли по умолчанию, которые было бы легко угадать. Бен Рид из FireEye отмечает, что хотя для использования этой ошибки сначала требуется узнать пароль, это не является непреодолимым препятствием, особенно для российских хакеров, у которых есть большой опыт по взлому учетных записей с помощью многих способов. Например, Password Spraying.
Также он отметил, что за последние несколько лет количество публичных заявлений о выявлении уязвимостей нулевого дня, используемых российскими хакерами, уменьшилось. Обычно, они предпочитают использовать общеизвестные баги.
Рекомендации АНБ
Когда много сотрудников работают удаленно, может быть сложно использовать традиционные инструменты сетевого мониторинга для выявления потенциально подозрительного поведения. Однако АНБ сообщает, что такие уязвимости, как ошибка VMware, представляют собой уникальную проблему, потому что вредоносная активность здесь происходит в зашифрованных соединениях с веб-интерфейсом, которые невозможно отличить от аутентификаций сотрудников. АНБ рекомендует администраторам организаций просматривать сетевые логи на предмет exit statements, которые могут указывать на подозрительную деятельность.
«Регулярно отслеживайте журналы аутентификации на предмет аномальных входов, особенно успешных. Стоит уделить внимание тем из них, которые используют установленные трасты, но которые приходят с необычных адресов или содержат необычные свойства», — говорится в сообщении ведомства.
АНБ не конкретизировало свои наблюдения об использовании уязвимости пророссийскими хакерами. Однако, по сообщениям американских СМИ хакеры из России активно атаковали ИТ-инфраструктуру США в течение 2020 года. В частности, их интересовали цели среди правительственных, энергетических и других важных структур. Кроме того, сообщается, что хакеры проявляли активность и во время президентских выборов.
Блог ITGLOBAL.COM — Managed IT, частные облака, IaaS, услуги ИБ для бизнеса:
- Популярные сайты все еще уязвимы для массовой DDoS-атаки
- Почему этичным хакерам следует взламывать корпорации сообща. Интервью с баг-хантером Алексом Чапманом
- Страх перед автоматизацией работы и другие тренды в мировой и российской кибербезопасности
- Как мы нашли уязвимость в почтовом сервере банка и чем она грозила
- Главные тенденции ИТ-индустрии в 2021 году по версии Gartner
===========
Источник:
habr.com
===========
===========
Автор оригинала: Lily Hay Newman
===========Похожие новости:
- [Информационная безопасность, Системное администрирование, Сетевые технологии, Облачные сервисы, Сетевое оборудование] Избавляемся от головной боли или зачем нужна система хранения USB-ключей в условиях пандемии
- [Информационная безопасность, Реверс-инжиниринг, Автомобильные гаджеты] Датчики давления в шинах автомобиля: пробуем провести DoS-атаку (перевод)
- [Информационная безопасность, IT-компании] Вирус-вымогатель парализовал работу мексиканского подразделения Foxconn и требует выкуп $34.6 млн
- [Информационная безопасность, Системное администрирование, Сетевые технологии, Сетевое оборудование] Fortinet Security Fabric на практике. Часть 4. Взаимная интеграция
- [Информационная безопасность, IT-компании] Криптовымогатели звонят с угрозами жертвам атак, если те восстанавливают данные из бэкапов и отказываются платить
- [Информационная безопасность] Security Week 50: zero-click уязвимость в iPhone, атака на постаматы
- [Информационная безопасность] Шпаргалки по безопасности: сброс пароля (перевод)
- [Программирование, Разработка под Android] Подменяем Runtime permissions в Android
- [Информационная безопасность, Системное администрирование, Сетевые технологии, Облачные сервисы] Обзор Check Point Secure 2020
- [Информационная безопасность, Сетевые технологии] MaxPatrol 8 — с чего начать?
Теги для поиска: #_informatsionnaja_bezopasnost (Информационная безопасность), #_vmware, #_anb (АНБ), #_hakery (хакеры), #_ujazvimost (уязвимость), #_blog_kompanii_itglobal.com (
Блог компании ITGLOBAL.COM
), #_informatsionnaja_bezopasnost (
Информационная безопасность
)
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 18:43
Часовой пояс: UTC + 5
Автор | Сообщение |
---|---|
news_bot ®
Стаж: 6 лет 9 месяцев |
|
В течение 2020 года из-за пандемии коронавируса огромное количество офисных сотрудников были вынуждены работать удаленно. Эта ситуация предсказуемо вызвала интерес со стороны хакеров. Агентство национальной безопасности США заявило, что группы российских провластных хакеров активно атакуют различные платформы для удаленной работы, используя обнаруженную уязвимость VMWare. Сам вендор на днях выпустил бюллетень по безопасности, где описал все нужные шаги для устранения уязвимости. Тогда же Агентство кибербезопасности и защиты инфраструктуры (CISA) обратилось к администраторам сетей с призывом немедленно исправить уязвимость. «Хакер мог использовать уязвимость, чтобы взять систему под контроль», — говорится в сообщении. АНБ отдельно просит администраторов сетей Национальной системы безопасности (National Security System), Министерства обороны и всего оборонно-промышленного комплекса страны немедленно устранить уязвимость везде, где это возможно. Волнуются не везде Обеспокоенность АНБ разделяют не все. Так, старший специалист по аналитике кибершпионажа в ИБ-компании FireEye Бен Рид говорит, что в этой ситуации важно анализировать не только само сообщение, но и от кого оно исходит. «Эта уязвимость удаленного выполненного кода — то, чего любая компания старается не допустить. Но иногда такое случается. АНБ уделяет этому такое большое внимание, потому что уязвимость использовали люди из России и, предположительно, против важных для АНБ целей», — сказал он. Все уязвимые продукты VMware относятся к решениям для облачной инфраструктуры и управления учетными данными. Это, например, VMware Cloud Foundation, VMware Workspace One Access и его предшественник VMware Identity Manager. В заявлении самой компании говорится, что «после появления проблемы она провела работу по оценке уязвимости и опубликовала обновления и патчи для ее закрытия». Также отмечается, что ситуация оценивается, как «важная», то есть на один уровень ниже «критической». Причина в том, что хакеры должны иметь доступ к веб-интерфейсу управления, защищенному паролем, прежде чем они смогут воспользоваться уязвимостью. Как только хакер получает доступ, он может использовать уязвимость для манипулирования запросами аутентификации SAML-утверждениями и таким образом проникнуть в сеть организации глубже, чтобы получить доступ к важной информации. Сама АНБ в своем сообщении говорит, что надежный пароль снижает риск атаки. К счастью, пострадавшие продукты VMWare спроектированы так, чтобы администраторы не использовали пароли по умолчанию, которые было бы легко угадать. Бен Рид из FireEye отмечает, что хотя для использования этой ошибки сначала требуется узнать пароль, это не является непреодолимым препятствием, особенно для российских хакеров, у которых есть большой опыт по взлому учетных записей с помощью многих способов. Например, Password Spraying. Также он отметил, что за последние несколько лет количество публичных заявлений о выявлении уязвимостей нулевого дня, используемых российскими хакерами, уменьшилось. Обычно, они предпочитают использовать общеизвестные баги. Рекомендации АНБ Когда много сотрудников работают удаленно, может быть сложно использовать традиционные инструменты сетевого мониторинга для выявления потенциально подозрительного поведения. Однако АНБ сообщает, что такие уязвимости, как ошибка VMware, представляют собой уникальную проблему, потому что вредоносная активность здесь происходит в зашифрованных соединениях с веб-интерфейсом, которые невозможно отличить от аутентификаций сотрудников. АНБ рекомендует администраторам организаций просматривать сетевые логи на предмет exit statements, которые могут указывать на подозрительную деятельность. «Регулярно отслеживайте журналы аутентификации на предмет аномальных входов, особенно успешных. Стоит уделить внимание тем из них, которые используют установленные трасты, но которые приходят с необычных адресов или содержат необычные свойства», — говорится в сообщении ведомства.
АНБ не конкретизировало свои наблюдения об использовании уязвимости пророссийскими хакерами. Однако, по сообщениям американских СМИ хакеры из России активно атаковали ИТ-инфраструктуру США в течение 2020 года. В частности, их интересовали цели среди правительственных, энергетических и других важных структур. Кроме того, сообщается, что хакеры проявляли активность и во время президентских выборов. Блог ITGLOBAL.COM — Managed IT, частные облака, IaaS, услуги ИБ для бизнеса:
=========== Источник: habr.com =========== =========== Автор оригинала: Lily Hay Newman ===========Похожие новости:
Блог компании ITGLOBAL.COM ), #_informatsionnaja_bezopasnost ( Информационная безопасность ) |
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 18:43
Часовой пояс: UTC + 5