NSA می گوید هکرهای دولت روسیه از نقص VMware برای سرقت از شبکه ها استفاده می کنند


بزرگنمایی / این تصویر پرچم پروفایل یکی از حساب هایی است که گفته می شود توسط آژانس تحقیقات اینترنتی اداره می شود ، سازمانی که از سال 2009 “کمپین های تأثیرگذار” در شبکه های اجتماعی را در روسیه ، آلمان ، اوکراین و ایالات متحده اجرا کرده است.

ترول روسی

آژانس امنیت ملی می گوید هکرهای دولت روسیه در حملاتی که به هکرها امکان نصب بدافزار ، دسترسی غیر مجاز به داده های حساس و حفظ مداوم در سیستم عامل های کار از راه دور گسترده را می دهد ، چندین سیستم VMware را به خطر می اندازند.

این آژانس روز دوشنبه اعلام کرد ، حملات مداوم از نقص امنیتی استفاده می کند که تا پنجشنبه گذشته معیوب باقی مانده است. CVE-2020-4006 ، از آنجا که این نقص قابل ردیابی است ، یک نقص در تزریق دستور است ، به این معنی که به مهاجمان اجازه می دهد تا دستورات دلخواه خود را در سیستم عامل اجرای نرم افزار آسیب پذیر اجرا کنند. این آسیب پذیری ها در نتیجه کدی است که قادر به فیلتر کردن ورودی کاربر خطرناک نیست ، مانند هدرهای HTTP یا کوکی ها. VMware پس از اطلاع توسط NSA ، CVE-2020-4006 را وصله کرد.

جام مقدس هکر

مهاجمان گروهی که توسط دولت روسیه حمایت مالی می شود ، از این آسیب پذیری برای دستیابی اولیه به سیستم های آسیب پذیر استفاده می کنند. سپس آنها پوسته وب را بارگذاری می کنند که رابط دائمی برای اجرای دستورات سرور را فراهم می کند. با استفاده از رابط کاربری ، سرانجام هکرها می توانند به فهرست فعال دسترسی پیدا کنند ، بخشی از سیستم عامل های سرور Microsoft Windows که هکرها Holy Grail را در نظر می گیرند زیرا به آنها امکان ایجاد حساب ، تغییر رمزهای عبور و سایر کارهای بسیار ممتاز را می دهد.

“عملیات تزریق فرمان منجر به نصب پوسته وب و فعالیت های مخرب بعدی شد که در آن اعتبارنامه هایی به صورت ادعاهای احراز هویت SAML تولید و به خدمات فدراسیون Active Directory مایکروسافت ارسال شد ، که به نوبه خود به شرکت کنندگان دسترسی امن مقامات NSA روز دوشنبه در یک شورای امنیت سایبری نوشتند.

برای اینکه سوus استفاده کنندگان از مزایای VMware استفاده کنند ، ابتدا باید دسترسی مبتنی بر رمز عبور معتبر به رابط مدیریت دستگاه را بدست آورند. رابط پیش فرض از طریق پورت اینترنت 8443 کار می کند. گذرواژه ها هنگام نصب نرم افزار باید به صورت دستی تنظیم شوند ، این شرط است که فرض می کند مدیران یا گذرواژه های ضعیف را انتخاب می کنند یا در غیر این صورت رمزهای عبور به خطر می افتند.

VMware در بیانیه ای که روز پنجشنبه صادر شد ، گفت: “یک بازیگر مخرب با دسترسی شبکه به تنظیم کننده مدیر در پورت 8443 و یک رمز عبور معتبر برای حساب مدیر تنظیم کننده ، می تواند دستوراتی را با امتیازات نامحدود در سیستم عامل اصلی اجرا کند.” “این حساب برای محصولات آسیب دیده داخلی است و یک رمز عبور در هنگام استقرار تنظیم می شود. یک بازیگر مخرب برای استفاده از CVE-2020-4006 باید این رمز عبور را داشته باشد. “

حملات فعال در حالی صورت می گیرد که تعداد زیادی از سازمان ها در پاسخ به بیماری همه گیر COVID-19 اقدام به انجام اقدامات خانگی کرده اند. از آنجا که بسیاری از کارمندان از راه دور به اطلاعات حساس ذخیره شده در شبکه های شرکتی و دولتی دسترسی پیدا می کنند ، نرم افزار VMware در اقدامات امنیتی طراحی شده برای حفظ امنیت اتصال نقش اساسی دارد.

ضرر تزریق دستورات بر پنج سیستم عامل VMware زیر تأثیر می گذارد:

  • VMware Access 3 20.01 و 20.10 در Linux
  • VMware vIDM 5 3.3.1 ، 3.3.2 و 3.3.3 در لینوکس
  • کانکتور VMware vIDM 3.3.1 ، 3.3.2 ، 3.3.3 ، 19.03
  • VMware Cloud Foundation 6 4.x
  • VMware vRealize Suite Lifecycle Manager 7 8.x

افرادی که با یکی از این محصولات کار می کنند باید در اسرع وقت راه حل سریع VMware را نصب کنند. آنها همچنین باید رمز عبور مورد استفاده برای امنیت محصول VMware را بررسی کنند تا از قوی بودن آن اطمینان حاصل کنند. NSA و VMware نکات اضافی برای ایمن سازی سیستم های اتصال در بالا دارند.

شورای NSA روز دوشنبه گروه هکرهای عامل حملات را شناسایی نکرد ، مگر اینکه بگوید این گروه از “بازیگران سایبری مخرب تحت حمایت روسیه” تشکیل شده است. در ماه اکتبر ، FBI و آژانس امنیت سایبری و امنیت زیرساخت هشدار دادند که هکرهای دولت روسیه یک آسیب پذیری مهم در ویندوز به نام Zerologon را هدف قرار می دهند. این گروه هکرهای روسی تحت نامهای بسیاری از جمله خرس Berserk ، خرس Energetic ، TeamSpy ، Dragonfly ، Havex ، Crouching Yeti و Koala هستند.


منبع: tarjome-news.ir

Leave a reply

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>