Le fournisseur lui-même a récemment publié un bulletin de sécurité, dans lequel il décrit toutes les étapes nécessaires pour éliminer la vulnérabilité. Dans le même temps, la Cybersecurity and Infrastructure Protection Agency (CISA) a appelé les administrateurs réseau à corriger immédiatement la vulnérabilité. «Un pirate informatique aurait pu utiliser une vulnérabilité pour prendre le contrôle du système», indique le message. La NSA demande spécifiquement aux administrateurs réseau du système de sécurité nationale, au ministère de la Défense et à l'ensemble de l'industrie de la défense du pays de remédier immédiatement à la vulnérabilité dans la mesure du possible.
Ils ne sont pas inquiets partout
Tout le monde ne partage pas la préoccupation de la NSA. Par exemple, Ben Reed, analyste senior en cyberespionnage chez la société de sécurité de l'information FireEye, dit que dans cette situation, il est important d'analyser non seulement le message lui-même, mais également de qui il provient. «Cette vulnérabilité de code exécuté à distance est quelque chose que chaque entreprise essaie d'éviter. Mais parfois cela arrive. La NSA accorde tellement d'attention à cela parce que la vulnérabilité a été exploitée par des gens de Russie et, vraisemblablement, contre des cibles importantes pour la NSA », a-t-il déclaré.
Tous les produits VMware concernés sont des solutions d'infrastructure cloud et de gestion des informations d'identification. Il s'agit par exemple de VMware Cloud Foundation, VMware Workspace One Access et son prédécesseur VMware Identity Manager. La société a déclaré dans un communiqué qu '"après l'apparition du problème, elle a effectué des travaux pour évaluer la vulnérabilité et a publié des mises à jour et des correctifs pour la fermer". Il est également noté que la situation est jugée «importante», c'est-à-dire un niveau en dessous de «critique». La raison en est que les pirates doivent avoir accès à une interface de gestion Web protégée par mot de passe avant de pouvoir exploiter la vulnérabilité. Une fois qu'un pirate a obtenu l'accès, il peut exploiter la vulnérabilité pour manipuler les demandes d'authentification des revendications SAML et ainsi pénétrer plus profondément dans le réseau de l'organisation pour accéder aux informations sensibles.
La NSA elle-même dans son message dit qu'un mot de passe fort réduit le risque d'attaque. Heureusement, les produits VMWare concernés sont conçus de telle sorte que les administrateurs n'utilisent pas de mots de passe par défaut faciles à deviner. Ben Reed de FireEye note que si l'exploitation de cette erreur nécessite d'abord de connaître le mot de passe, ce n'est pas un obstacle insurmontable, en particulier pour les pirates russes qui ont une vaste expérience dans le piratage de comptes en utilisant de nombreuses méthodes. Par exemple, Pulvérisation de mot de passe.
Il a également noté qu'au cours des dernières années, le nombre de déclarations publiques sur l'identification des vulnérabilités zero-day utilisées par les pirates informatiques russes a diminué. Ils préfèrent généralement utiliser des bogues bien connus.
Recommandations de la NSA
Lorsque de nombreux employés travaillent à distance, il peut être difficile d'utiliser les outils de surveillance réseau traditionnels pour identifier les comportements potentiellement suspects. Cependant, la NSA affirme que les vulnérabilités telles que le bogue VMware posent un problème unique, car l'activité malveillante se déroule ici dans des connexions Web cryptées qui ne peuvent pas être distinguées de l'authentification des employés. La NSA encourage les administrateurs des organisations à examiner les journaux réseau pour les déclarations de sortie qui peuvent indiquer une activité suspecte.
«Surveillez régulièrement vos journaux d'authentification pour détecter les connexions anormales, en particulier celles qui réussissent. Il convient de prêter attention à ceux d'entre eux qui utilisent des fiducies établies, mais qui proviennent d'adresses inhabituelles ou contiennent des propriétés inhabituelles », a déclaré le ministère dans un communiqué.
La NSA n'a pas développé ses observations sur l'exploitation de la vulnérabilité par des hackers pro-russes. Cependant, selon les médias américains, des pirates informatiques russes ont activement attaqué l'infrastructure informatique américaine en 2020. En particulier, ils s'intéressaient aux objectifs du gouvernement, de l'énergie et d'autres structures importantes. En outre, il est rapporté que les hackers étaient actifs lors des élections présidentielles.
Blog ITGLOBAL.COM - Managed IT, clouds privés, IaaS, services de sécurité de l'information pour les entreprises: