11月底VMware存取控管及身份管理組態工具WorkspaceOne傳出存在重大風險漏洞,影響多個產品,美國國安局本周警告用戶應儘速修補漏洞,因為俄國政府資助的駭客現已積極發動攻擊。

VMware Workspace One管理組態工具漏洞CVE-2020-4006影響包括Access 20.01/20.10、Access Connector 20.01/20.10、Identity Manager(vIDM)3.3.x,及Identity Manager Connector(vIDM Connector)3.3.x。漏洞出現在上述產品的Linux版,但vIDM Connector的Windows版本3.3.x及19.x也受影響。

攻擊者若經由port 8443存取此一管理介面,就可以偽造SAML(security assertion markup language)登入帳密,即可在底層作業系統以指令注入安裝web shell程式,包括存取受保護的資料機密。CVE-2020-4006漏洞CVSS 3.1風險層級達9.1,屬於重大風險。

漏洞公布後,VMware趕忙於上周釋出修補程式

NSA公告指出,已經察覺俄羅斯政府支持的駭客組織正在利用竊取而來的登入帳密開採這項漏洞。NSA鼓勵所有和國安系統、國防部及國防產業網路有關的系統管理員儘速採取防護措施。

NSA提醒,由於開採行動發生在連向Web介面的加密TLS通道,因此網路無法偵測到入侵指標(IoC),但可能在伺服器log中可以捕捉到蛛絲馬跡。

不過NSA拒絕公開提供「外國惡意網路活動的受害者」資訊,也未說明攻擊日期。

但是按照11月底美國網路安全暨基礎架構安全署(Cybersecurity and Infrastructure Security Agency,CISA)第一時間對企業發出公告,顯示攻擊受害單位的產業關鍵地位。

熱門新聞


Advertisement