O próprio fornecedor lançou recentemente um boletim de segurança, no qual descreve todas as etapas necessárias para eliminar a vulnerabilidade. Ao mesmo tempo, a Cibersegurança e Agência de Proteção de Infraestrutura (CISA) apelou aos administradores de rede para corrigir imediatamente a vulnerabilidade. “Um hacker pode ter usado uma vulnerabilidade para assumir o controle do sistema”, diz a mensagem. A NSA está solicitando separadamente aos administradores de rede do Sistema de Segurança Nacional, do Departamento de Defesa e de toda a indústria de defesa do país que abordem imediatamente a vulnerabilidade sempre que possível.
Eles não estão preocupados em todos os lugares
Nem todos compartilham da preocupação da NSA. Por exemplo, Ben Reed, analista sênior de espionagem cibernética da empresa de segurança da informação FireEye, diz que, nessa situação, é importante analisar não apenas a mensagem em si, mas também de quem ela vem. “Essa vulnerabilidade de execução remota de código é algo que toda empresa tenta evitar. Mas às vezes acontece. A NSA dá muita atenção a isso porque a vulnerabilidade foi explorada por pessoas da Rússia e, presumivelmente, contra alvos importantes para a NSA ”, disse ele.
Todos os produtos VMware afetados são soluções de infraestrutura em nuvem e gerenciamento de credenciais. São eles, por exemplo, VMware Cloud Foundation, VMware Workspace One Access e seu predecessor VMware Identity Manager. A empresa disse em um comunicado que "depois que o problema apareceu, realizou um trabalho para avaliar a vulnerabilidade e publicou atualizações e patches para fechá-lo". Nota-se também que a situação é avaliada como “importante”, ou seja, um nível abaixo de “crítica”. O motivo é que os hackers devem ter acesso a uma interface de gerenciamento da Web protegida por senha antes de explorar a vulnerabilidade. Depois que um hacker obtém acesso, ele pode explorar a vulnerabilidade para manipular as solicitações de autenticação de declarações SAML e, assim, penetrar mais profundamente na rede da organização para obter acesso a informações confidenciais.
A própria NSA em sua mensagem diz que uma senha forte reduz o risco de um ataque. Felizmente, os produtos VMWare afetados são projetados para que os administradores não usem senhas padrão que sejam fáceis de adivinhar. Ben Reed, da FireEye, observa que, embora a exploração desse erro exija primeiro o conhecimento da senha, ele não é um obstáculo intransponível, especialmente para hackers russos que têm vasta experiência em hackear contas usando vários métodos. Por exemplo, Spraying de senha.
Ele também observou que, nos últimos anos, o número de declarações públicas sobre a identificação de vulnerabilidades de dia zero usadas por hackers russos diminuiu. Eles geralmente preferem usar bugs bem conhecidos.
Recomendações NSA
Quando muitos funcionários trabalham remotamente, pode ser difícil usar as ferramentas tradicionais de monitoramento de rede para identificar comportamentos potencialmente suspeitos. No entanto, a NSA diz que vulnerabilidades como o bug do VMware representam um problema único porque a atividade maliciosa aqui ocorre em conexões criptografadas baseadas na web que são indistinguíveis da autenticação de funcionários. A NSA incentiva os administradores das organizações a examinarem os logs da rede em busca de declarações de saída que possam indicar atividade suspeita.
“Monitore seus logs de autenticação regularmente para logins anormais, especialmente os bem-sucedidos. Vale a pena prestar atenção àqueles que usam trustes estabelecidos, mas que vêm de endereços inusitados ou contêm propriedades inusitadas ”, disse o ministério em nota.
A NSA não elaborou suas observações sobre a exploração da vulnerabilidade por hackers pró-russos. No entanto, de acordo com relatos da mídia americana, hackers da Rússia atacaram ativamente a infraestrutura de TI dos Estados Unidos durante 2020. Em particular, eles estavam interessados em objetivos entre governo, energia e outras estruturas importantes. Além disso, é relatado que os hackers estavam ativos durante as eleições presidenciais.
Blog ITGLOBAL.COM - TI gerenciada, nuvens privadas, IaaS, serviços de segurança da informação para empresas: