عيب في VMware يستخدم لضرب أهداف في SolarWinds Orion

حذرت مجموعات الأمن السيبراني التابعة للسلطات الأمريكية هذا الأسبوع . من أن المهاجمين في الجزء الخلفي من موجة القرصنة الهائلة الناجمة عن التسوية في شركة البرمجيات المجتمعية SolarWinds. استخدموا نقاط ضعف في منتجات مختلفة غير تابعة لـ SolarWinds للاعتداء على أهداف ذات قيمة مفرطة. وفقًا للمصادر ، من بين تلك التي تحولت إلى عيب في منصة المحاكاة الافتراضية لبرنامج البرمجيات VMware . والتي حذرت شركة الحماية على مستوى الولايات المتحدة (NSA) في 7 ديسمبر من استخدامها من قبل المتسللين الروس لانتحال صفة المستخدمين المصرح لهم على الشبكات المتضررة.

في 7 كانون الأول (ديسمبر) 2020 . قالت وكالة الأمن القومي: “يستغل الفاعلون السيبرانيون المدعومون من الدولة الروسية ثغرة أمنية في الوصول إلى برامج VMware وسلع مشرف تعريف VMware . مما يسمح للجهات الفاعلة بالوصول إلى السجلات المضمنة وإساءة استخدام المصادقة الموحدة.
أصدرت VMware تحديثًا للبرنامج لتوصيل جوفاء الأمان (CVE-2020-4006) في 3 ديسمبر وقالت إنها علمت بالعيب من وكالة الأمن القومي.

جاء تقرير وكالة الأمن القومي (PDF) قبل أقل من 24 ساعة من إعلان شركة FireEye للاستجابة للحوادث الإلكترونية . أنها وجدت أن المهاجمين قد أضروا بشبكاتها وسرقوا أكثر من ثلاثمائة أداة برمجية خاصة طورتها الشركة لمساعدة العملاء على تأمين شبكاتهم.

في الثالث عشر من كانون الأول (ديسمبر) ، كشفت FireEye أن الحادث تحول إلى نتيجة تسوية SolarWinds ، والتي تتعلق بإدخال كود خبيث خلسة في التحديثات التي يتم شحنها من خلال SolarWinds لمستخدمي برنامج Orion للتحكم في الشبكة كطرق للعودة إلى مارس 2020.

عيب في VMware يستخدم لضرب أهداف في SolarWinds

في استشاريها حول ثغرة برنامج VMware . نصحت وكالة الأمن القومي بتصحيحها “في أسرع وقت ممكن” ، وشجعت بشكل أساسي جهاز الأمن على مستوى الدولة ، وإدارة الحماية ، ومقاولي الدفاع على جعل القيام بذلك أولوية مفرطة.

قالت وكالة الأمن القومي إن الأمر الذي سيستغل هذا الخلل الدقيق ، سيحتاج المتسللون بالفعل إلى الحصول على إذن بالدخول إلى واجهة إدارة أداة VMware المائلة – أي قد يحتاجون إلى أن يكونوا في المجتمع الداخلي للهدف (قدموا واجهة VMware الحساسة التي تغيرت إلى غير متوفرة من الشبكة). ومع ذلك ، كان من الممكن أن يوفر حل SolarWinds هذا القبول الداخلي جيدًا.

ذات صلة : إستهداف القراصنة للألعاب متعددة اللاعبين عبر الإنترنت

رداً على أسئلة من KrebsOnSecurity . ذكرت VMware أنها “لم تتلق أي إخطار أو إشارة إلى أن CVE 2020-4006 ستستخدم في جانب حل سلسلة توريد SolarWinds.”
أضافت VMware أنه في حين أن عددًا من شبكاتها الخاصة تستخدم برنامج SolarWinds Orion الحساس ، إلا أن التحقيق حتى هذه اللحظة لم يجد أي دليل على الاستغلال.

وقالت المنظمة في بيان: “بينما حددنا حالات محدودة لبرنامج SolarWinds Orion الحساس في محيطنا ، لم يكشف تحقيقنا الداخلي الآن عن أي مؤشر على الاستغلال”. “تم تأكيد ذلك أيضًا بمساعدة تحقيقات SolarWinds الشخصية حتى الآن.”

في 17 كانون الأول (ديسمبر) ، أطلقت مؤسسة الأمن السيبراني وحماية البنية التحتية (CISA) التابعة لوزارة الأمن الداخلي تنبيهًا واقعيًا بشأن هجوم SolarWinds . مشيرةً إلى أن CISA لديها دليل على حق دخول إضافي إلى المتجهات بخلاف منصة SolarWinds Orion.

أشار مستشار CISA بشكل خاص إلى أن “إحدى الطرق الرئيسية التي ينفذ بها الخصم هذا الهدف هي استغلال شهادة توقيع بيان السلامة (SAML) لاستخدام امتيازات القائمة النشطة المتصاعدة. بمجرد الانتهاء من ذلك ، ينشئ الخصم رموزًا غير مصرح بها ولكنها صالحة ويقدمها للخدمات التي تعتقد أن رموز SAML المميزة من المناطق المحيطة. يمكن بعد ذلك استخدام هذه الرموز للحصول على الدخول إلى المصادر في البيئات المستضافة ، جنبًا إلى جنب مع البريد الإلكتروني . لاستخراج الإحصائيات عبر واجهات برمجة المرافق القانونية (APIs). “

بالتأكيد ، قال مستشار وكالة الأمن القومي في 7 كانون الأول (ديسمبر) ،إن هواية القرصنة التي شهدتها فيما يتعلق بالثغرة الأمنية في برنامج VMware “أدت إلى تثبيت غلاف الإنترنت ومراقبة التسلية الضارة حيث تم إنشاء بيانات الاعتماد داخل شكل تأكيدات مصادقة SAML وإرسالها إلى قائمة Microsoft النشطة خدمات الاتحاد (ADFS) ، والتي بدورها تمنح الممثلين حق الدخول إلى الإحصاءات المحمية “.

بالإضافة إلى ذلك ، في 17 كانون الأول (ديسمبر) ، أصدرت وكالة الأمن القومي (NSA) نصيحة أكثر تميزًا تشرح كيفية رؤيتها لثغرة برنامج VMware التي تُستخدم لتزوير رموز SAML ، هذه المرة ، على وجه الخصوص ، بالإشارة إلى تسوية SolarWinds.

طلبت وكالة الأمن القومي (NSA) ما يقرب من الاتصال بالقدرة ، وهي أن الأكثر فاعلية أنه “إذا استفاد الفاعلون السيبرانيون الخبيثون من الدخول الأولي إلى الشبكات من خلال تسوية SolarWinds ، فيمكن استخدام [التكتيكات والتقنيات والإجراءات] الخاصة بـ TTP المذكورة في استشاري 17 ديسمبر لتزوير بيانات الاعتماد والحفاظ على المثابرة للحصول على القبول “.

وقالت وكالة الأمن القومي: “إن توجهنا في هذا الاستشارة يسمح باكتشاف هذا والتخفيف من حدته ، بغض النظر عن القبول الأولي للتقنية”.

أوصى تقييم CISA بأن المحتالين في الجزء الخلفي من تسلل SolarWinds كانوا يركزون عن كثب على التمثيل الشخصي

أضف تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *