Nền
Vào tháng 11, VMware đã tiết lộ một lỗ hổng trong VMWare WorkSpace ONE Access (trước đây gọi là VMware Identity Manger). Lỗ hổng này được theo dõi là CVE-2020-4006. NSA đã cảnh báo rằng tin tặc được nhà nước Nga tài trợ đã tích cực khai thác lỗ hổng này và đã cung cấp khuyến cáo này. Lỗ hổng này có thể được sử dụng để truy cập bất chính vào giao diện quản lý dựa trên web của hệ thống và thực hiện các lệnh tùy ý với các đặc quyền nâng cao ở cấp hệ điều hành. Cuối cùng, khai thác cho phép kẻ tấn công khai thác các cơ chế xác thực liên bang, cho phép chúng làm giả thông tin xác thực để truy cập dữ liệu được bảo vệ.
Làm thế nào để phát hiện?
Dựa trên thông tin được VMware cung cấp trong bản tư vấn của họ, OPSWAT đã bổ sung khả năng phát hiện CVE trên thiết bị và báo cáo nó trong MetaDefender Truy cập. Khi được phát hiện, nó được báo cáo cả trong MetaDefender Cổng quản lý truy cập và người dùng máy tính bị nhiễm MetaDefender Endpoint chạy thiết bị đó.
Một ví dụ về CVE được báo cáo cho người dùng thiết bị:
Làm thế nào để khắc phục và phòng ngừa?
Sau khi sử dụng MetaDefender Truy cập để tìm máy dễ bị tấn công, bản vá có thể được áp dụng và sau đó các thiết bị được quét lại. Ngoài ra, quét tự động/liên tục để tìm lỗ hổng này sẽ cảnh báo bạn nếu máy được đưa trực tuyến với cấu hình cũ hơn có chứa khai thác.
Làm thế nào để ngăn chặn các cuộc tấn công tương tự?
Vì các cuộc tấn công vào các nhà cung cấp danh tính được sử dụng rộng rãi như thế này rất nghiêm trọng và có tác động lớn, NSA đã ban hành khuyến cáo về cách phát hiện, giảm thiểu và củng cố hệ thống để tránh bị khai thác do lỗ hổng cụ thể này và các lỗ hổng tương tự khác có khả năng ẩn nấp mà không bị phát hiện.
Như đã hiểu rõ và tài liệu của NSA nhấn mạnh, cuộc tấn công này cùng nhiều cuộc tấn công khác bắt đầu bằng cách khai thác các thiết bị đầu cuối chưa vá chạy phần mềm lỗi thời. MetaDefender Access có thể làm nhiều hơn là chỉ giữ cho các thiết bị đầu cuối được vá và cập nhật với Advanced Endpoint Khả năng bảo vệ. Nó có thể ngăn chặn chúng kết nối nếu chúng không tuân thủ danh sách dài các kiểm tra về sức khỏe và bảo mật.
Về việc ngăn chặn các cuộc tấn công vào giao diện quản lý của cơ sở hạ tầng bảo mật, từ lâu đã có một thông lệ là phân đoạn các giao diện đó - và với các khả năng như Software Chu vi xác định ( SDP ), việc phân đoạn có thể an toàn hơn nhiều và dễ quản lý hơn. MetaDefender Truy cập kết hợp bảo vệ phân đoạn cấp độ mạng của SDP với tính năng nâng cao của nó Endpoint Bảo vệ, do đó đảm bảo thiết bị đầu cuối của mạng giao diện quản lý không thể truy cập được cho đến khi và trừ khi thiết bị đang cố gắng kết nối được chứng minh là đáng tin cậy.
MetaDefender Access giúp bảo vệ các giao diện quản lý như vậy một cách dễ dàng. Sau khi Gateway được triển khai, chỉ cần xác định ứng dụng cần bảo vệ - trong trường hợp này là bảng điều khiển quản lý WorkSpace ONE Access:
Làm thế nào để có thêm thông tin.
Để biết thêm thông tin về cách OPSWAT MetaDefender Truy cập có thể giúp bảo vệ bạn cơ sở hạ tầng trọng yếu , hãy liên hệ với chúng tôi ngay hôm nay .
Tham khảo
CVE-2020-4006 Cố vấn VMware VMSA-2020-0027.2 (vmware.com)
Tin tặc Nga khai thác lỗ hổng VMware mới được vá, NSA cảnh báo | SecurityWeek.Com
Cố vấn an ninh mạng của NSA: Các tác nhân độc hại lạm dụng cơ chế xác thực để truy cập Cloud Tài nguyên > Không quân thứ mười sáu (Không quân Cyber) > Tin tức (af.mil)
