据外媒报道,近日美国国家安全局(NSA)警告称,与俄罗斯有关的黑客正在利用最近修补的CVE-2020-4006 VMware漏洞进行网络间谍活动。
美国情报机构正在敦促企业更新VMWare产品,以解决上述问题。
上周,该公司发布了安全更新,修复了位于 VMware Workspace One Access、Access Connector、Identity Manager 和 Identity Manager Connector 中的CVE-2020-4006 0day漏洞。
受影响的 VMware 产品版本如下:
VMware Workspace One Access 20.10 (Linux)
VMware Workspace One Access 20.01 (Linux)
VMware Identity Manager 3.3.1 至 3.3.3 (Linux)
VMware Identity Manager Connector 3.3.2, 3.3.1 (Linux)
VMware Identity Manager Connector 3.3.3, 3.3.2, 3.3.1 (Windows)
来自俄罗斯政府赞助的一个团体的攻击者正在利用此漏洞来初步访问易受攻击的系统。然后,他们上传一个Web Shell,该Web Shell提供了用于运行服务器命令的持久接口。黑客最终可以使用命令界面访问活动目录,该活动目录是Microsoft Windows服务器操作系统中被黑客视为圣杯的部分,因为它允许他们创建帐户,更改密码并执行其他高特权任务。
“通过命令注入进行的利用导致了Web Shell的安装和后续的恶意活动,其中以SAML身份验证断言的形式生成凭据并将其发送到Microsoft Active Directory联合身份验证服务,Microsoft Active Directory联合身份验证服务又使参与者有权访问受保护的数据, NSA官员在周一的网络安全公告中写道。
美国国家安全局强烈建议NSS、DoD和DIB系统管理员尽快应用供应商发布的补丁。如果怀疑存在危险,请检查服务器日志和身份验证服务器配置,并应用产品更新。”他总结道。“如果无法立即安装补丁,系统管理员应采用建议中详细说明的缓解措施,以帮助降低被利用、入侵、攻击的风险。”
本文内容不用于商业目的,如涉及知识产权问题,请权利人联系博为峰小编(021-64471599-8017),我们将立即处理