A Agência de Segurança Nacional (NSA) dos Estados Unidos emitiu um alerta sobre uma vulnerabilidade em dois produtos da VMware que hackers supostamente ligados ao governo russo estão explorando para acessar dados confidenciais e manter a persistência nos sistemas visados.
A NSA pediu aos administradores de rede do Sistema de Segurança Nacional, do Departamento de Defesa, e da Base Industrial de Defesa (DIB) dos EUA que corrigissem o bug como prioridade.
A VMware corrigiu a falha, cujo identificador é CVE-2020-4006, no dia 3 deste mês. É uma vulnerabilidade de injeção de comando que existe nos produtos VMware Access e VMware Identity Manager.
“A exploração via injeção de comando levou à instalação de um shell da web e, na sequência, a uma atividade mal-intencionada em que as credenciais, na forma de asserções de autenticação SAML, foram geradas e enviadas para o Microsoft Active Directory Federation Services (ADFS), que por sua vez concedeu acesso a dados protegidos”, explica a NSA em seu comunicado.
O SAML (Security Assertion Markup Language) é um padrão aberto que permite que provedores de identidade passem credenciais de autorização para provedores de serviços.
“É crítico ao executar produtos que executam autenticação que o servidor e todos os serviços que dependem dele sejam configurados corretamente para operação e integração seguras. Caso contrário, as declarações de SAML poderiam ser forjadas, concedendo acesso a vários recursos”, alerta a agência de inteligência americana.
Veja isso
VMware anuncia aquisição da Datrium, para recovery as a service
Brecha no VMware Cloud Director traz risco a provedores de nuvem
A NSA recomenda que todos os administradores que integram servidores de autenticação com ADFS sigam as práticas recomendadas da Microsoft, como autenticação multifator.
A agência observa ainda que o acesso baseado em senha para a interface de usuário baseada na web do dispositivo é necessário para explorar o bug, então usar uma senha forte e única ajuda a mitigar o risco, assim como desconecta a interface da internet.
Segundo especialistas em segurança, bugs que afetam a infraestrutura central como este, mesmo de gravidade ligeiramente mais baixa que exigem pré-requisitos para autenticação, são atraentes e úteis para hackers porque esses sistemas são o ponto de agregação central para uma parte significativa da infraestrutura.