un troll ruso
La Agencia de Seguridad Marketingdecontenido dice que los piratas informáticos del estado ruso están comprometiendo múltiples sistemas VMware en ataques que les permiten instalar malware, obtener acceso no autorizado a datos confidenciales y mantener un control persistente en plataformas de trabajo remotas ampliamente utilizadas.
Los ataques en curso están explotando un error de seguridad que permaneció sin parchear hasta el jueves pasado, informó la agencia el lunes. CVE-2023-4006, como se rastrea la falla, es una falla de inyección de comandos, lo que significa que permite a los atacantes ejecutar los comandos de su elección en el sistema operativo que ejecuta el software vulnerable. Estas vulnerabilidades son el resultado de un código que no puede filtrar las entradas no seguras del usuario, como los encabezados HTTP o las cookies. VMware parchó CVE-2023-4006 después de recibir un aviso de la NSA.
El Santo Grial de un hacker
Los atacantes de un grupo patrocinado por el gobierno ruso están explotando la vulnerabilidad para obtener acceso inicial a los sistemas vulnerables. Luego cargan un shell web que brinda una interfaz persistente para ejecutar comandos del servidor. Usando la interfaz de comando, los piratas informáticos finalmente pueden acceder al directorio activo, la parte de los sistemas operativos de servidor de Microsoft Windows que los piratas informáticos consideran el Santo Grial porque les permite crear cuentas, cambiar contraseñas y llevar a cabo otras tareas altamente privilegiadas.
“La explotación a través de la inyección de comandos condujo a la instalación de un shell web y una actividad maliciosa de seguimiento donde se generaron y enviaron credenciales en forma de aserciones de autenticación SAML a Microsoft Active Directory Federation Services, que a su vez otorgó a los actores acceso a datos protegidos. Los funcionarios de la NSA escribieron en el aviso de seguridad cibernética del lunes.
Para que los atacantes aprovechen la falla de VMware, primero deben obtener acceso autenticado basado en contraseña a la interfaz de administración del dispositivo. La interfaz se ejecuta de forma predeterminada en el puerto de Internet 8443. Las contraseñas deben configurarse manualmente al instalar el software, un requisito que sugiere que los administradores están eligiendo contraseñas débiles o que las contraseñas están siendo comprometidas por otros medios.
“Un actor malintencionado con acceso de red al configurador administrativo en el puerto 8443 y una contraseña válida para la cuenta de administrador del configurador puede ejecutar comandos con privilegios sin restricciones en el sistema operativo subyacente”, dijo VMware en un aviso publicado el jueves. “Esta cuenta es interna para los productos afectados y se establece una contraseña en el momento de la implementación. Un actor malicioso debe poseer esta contraseña para intentar explotar CVE-2023-4006”.
Los ataques activos se producen cuando un gran número de organizaciones han iniciado procedimientos de trabajo desde casa en respuesta a la pandemia de COVID-19. Dado que muchos empleados acceden de forma remota a información confidencial almacenada en redes corporativas y gubernamentales, el software de VMware desempeña un papel clave en las protecciones diseñadas para mantener las conexiones seguras.
La falla de inyección de comandos afecta a las siguientes cinco plataformas de VMware:
- VMware Access 3 20.01 y 20.10 en Linux
- VMware vIDM 5 3.3.1, 3.3.2 y 3.3.3 en Linux
- Conector VMware vIDM 3.3.1, 3.3.2, 3.3.3, 19.03
- VMware Cloud Foundation 4.x
- Administrador de ciclo de vida de VMware vRealize Suite 7 8.x
Las personas que ejecutan uno de estos productos deben instalar el parche de VMware lo antes posible. También deben revisar la contraseña utilizada para proteger el producto de VMware para asegurarse de que sea segura. Tanto la NSA como VMware tienen consejos adicionales para proteger los sistemas en los enlaces anteriores.
El aviso de la NSA del lunes no identificó al grupo de piratas informáticos detrás de los ataques, aparte de decir que estaba compuesto por «actores cibernéticos maliciosos patrocinados por el estado ruso». En octubre, el FBI y la Agencia de Seguridad de Infraestructura y Ciberseguridad advirtieron que los piratas informáticos del estado ruso estaban apuntando a la vulnerabilidad crítica de Windows denominada Zerologon. Ese grupo de piratas informáticos ruso tiene muchos nombres, incluidos Berserk Bear, Energetic Bear, TeamSpy, Dragonfly, Havex, Crouching Yeti y Koala.
Publicación actualizada para corregir los productos afectados.
