Háttér
Novemberben a VMware nyilvánosságra hozta a VMWare WorkSpace ONE Access (korábbi nevén VMware Identity Manger) hibáját. A sebezhetőséget CVE-2020-4006 néven követik nyomon. Az NSA figyelmeztetett, hogy az orosz állam által támogatott hackerek aktívan kihasználják ezt a sebezhetőséget, és ezt a tanácsadást adta ki. A sebezhetőséget kihasználva aljas módon lehet hozzáférni a rendszer webalapú kezelőfelületéhez, és tetszőleges parancsokat lehet végrehajtani az operációs rendszer szintjén megnövelt jogosultságokkal. Végső soron a kihasználás lehetővé teszi a támadó számára a szövetségi hitelesítési mechanizmusok kihasználását, ami lehetővé teszi a hitelesítő adatok meghamisítását a védett adatokhoz való hozzáféréshez.
Hogyan lehet felismerni?
A VMware által a tanácsadásban megadott információk alapján OPSWAT hozzáadta a CVE észlelésének képességét egy eszközön, és jelentette azt a MetaDefender Accessben. Az észleléskor mind a MetaDefender Access menedzsment portálon, mind a fertőzött számítógép felhasználójának az eszközt futtató MetaDefender Endpoint jelentésre kerül.
Egy példa a CVE jelentésére az eszköz felhasználójának:
Hogyan lehet orvosolni és megelőzni?
Miután a MetaDefender Access segítségével megtalálta a sebezhető gépeket, a javítás alkalmazható, majd az eszközök újra átvizsgálhatók. Ezenkívül a sebezhetőségre vonatkozó automatikus/folyamatos vizsgálat figyelmeztetni fogja Önt, ha egy gépet egy régebbi, az exploitot tartalmazó konfigurációval hoznak online.
Hogyan lehet megelőzni a hasonló támadásokat?
Mivel az ilyen, széles körben használt személyazonossági szolgáltatók elleni támadások súlyosak és hatásosak, az NSA kiadott egy tanácsadást arról, hogyan lehet észlelni, enyhíteni és keményíteni a rendszereket, hogy elkerüljék az ebből a konkrét sebezhetőségből és más hasonló, valószínűleg észrevétlenül leselkedő támadásokból adódó kihasználásokat.
Amint az köztudott, és az NSA dokumentuma is alátámasztja, ez és sok más támadás a frissítetlen, elavult szoftvert futtató végpontok kihasználásával kezdődik. A MetaDefender Access a fejlett Endpoint funkcióival messze túlmutathat a végpontok foltozott és naprakész állapotban tartásán. Megakadályozhatja a csatlakozást, ha nem felelnek meg az állapot- és biztonsági ellenőrzések hosszú listájának.
A biztonsági infrastruktúra kezelőfelületét érő támadások megelőzése érdekében már régóta bevett gyakorlat, hogy ezeket a felületeket szegmentálják - és az olyan képességekkel, mint a Software definiált peremSDP), ez a szegmentálás sokkal biztonságosabbá és könnyebben kezelhetővé válik. MetaDefender Access kombinálja az SDP hálózati szintű szegmentációs védelmét a fejlett Endpoint , ezáltal biztosítva, hogy a kezelőfelület hálózati végpontja mindaddig elérhetetlen legyen, amíg a csatlakozni próbáló eszköz nem bizonyul megbízhatónak.
MetaDefender Access megkönnyíti az ilyen kezelőfelületek védelmét. Miután az átjáró a helyén van, egyszerűen meg kell határozni a védendő alkalmazást - ebben az esetben a WorkSpace ONE Access kezelési konzolt:
További információ.
Ha további információt szeretne arról, hogy OPSWAT MetaDefender Access hogyan segíthet megvédeni kritikus infrastruktúráját, lépjen kapcsolatba velünk még ma.
Hivatkozások
CVE-2020-4006 VMware Advisory VMSA-2020-0027.2 (vmware.com)
Orosz hackerek kihasználják a nemrég javított VMware hibát, figyelmeztet az NSA | SecurityWeek.Com
Az NSA kiberbiztonsági tanácsadója: Rosszindulatú szereplők visszaélnek a hitelesítési mechanizmusokkal a Cloud erőforrásokhoz való hozzáféréshez > Tizenhatodik légierő (Air Forces Cyber) > Hírek (af.mil)
Rendszer- és hálózati konfigurációs követelmények (vmware.com)
