VMware emitió un aviso de seguridad, diciendo que la Agencia de Seguridad Nacional NSA informó una vulnerabilidad de inyección de comandos (CVE-2020-4006) en los productos VMware Workspace One Access, Access Connector, Identity Manager e Identity Manager Connector.
“Un actor malintencionado con acceso de red al configurador administrativo en el puerto 8443 y una contraseña válida para la cuenta de administrador del configurador puede ejecutar comandos con privilegios no restringidos en el sistema operativo subyacente. Esta cuenta es interna de los productos afectados y se establece una contraseña en el momento de la implementación. Un actor malintencionado debe poseer esta contraseña para intentar explotar CVE-2020-4006 ".
Pero el problema es que la cuenta tiene una contraseña configurada durante la implementación del sistema, lo que significa que el atacante puede necesitar usar ingeniería social y otros medios para arrebatar la contraseña de la cuenta del usuario con el fin de explotar la vulnerabilidad. Estas vulnerabilidades se deben a que el código no filtra la entrada insegura del usuario (como los encabezados HTTP o las cookies).
Después de que la NSA informara sobre la vulnerabilidad, VMware lanzó el parche. Pronto, la NSA emitió un nuevo aviso el 7 de diciembre. El contenido del aviso gira principalmente en torno al tema " Los ciberactores malintencionados patrocinados por el Estado ruso aprovechan la vulnerabilidad conocida en los espacios de trabajo virtuales ".
Después de recopilar información, se muestra que los atacantes de una organización patrocinada por Rusia están utilizando esta vulnerabilidad para acceder inicialmente a sistemas de estaciones de trabajo VMware vulnerables. El pirata informático cargó un Web Shell a través de la vulnerabilidad, que proporciona una interfaz persistente para ejecutar comandos del servidor. Los piratas informáticos finalmente pueden usar la interfaz de comandos para acceder a Active Directory, que es muy importante para el sistema operativo del servidor Microsoft Windows porque si puede acceder al directorio, puede crear cuentas, cambiar contraseñas y realizar otras tareas con muchos privilegios.
Las vulnerabilidades de inyección de comandos conducen a la instalación de Web Shell y a actividades maliciosas posteriores. En las actividades posteriores, el atacante genera credenciales en forma de SAML (Security Assertion Markup Language) y las envía al Servicio de federación de Microsoft Active Directory. El servicio de federación de Microsoft Active Directory otorga a los atacantes el derecho a acceder a datos protegidos, dominando así la intranet.
Gracias por visitar este sitio, espero que te haya gustado y vuelvas proximamente, compartela en las redes sociales, gracias
