El propio proveedor publicó recientemente un boletín de seguridad, donde describió todos los pasos necesarios para eliminar la vulnerabilidad. Al mismo tiempo, la Agencia de Protección de Infraestructura y Ciberseguridad (CISA) hizo un llamamiento a los administradores de red para que solucionen la vulnerabilidad de inmediato. "Un pirata informático podría haber utilizado una vulnerabilidad para tomar el control del sistema", dice el mensaje. La NSA está pidiendo específicamente a los administradores de red del Sistema de Seguridad Nacional, el Departamento de Defensa y toda la industria de defensa del país que aborden de inmediato la vulnerabilidad siempre que sea posible.
No estan preocupados en todas partes
No todo el mundo comparte la preocupación de la NSA. Por ejemplo, Ben Reed, analista senior de ciberespionaje de la empresa de seguridad de la información FireEye, dice que en esta situación es importante analizar no solo el mensaje en sí, sino también de quién proviene. “Esta vulnerabilidad de código ejecutado de forma remota es algo que todas las empresas intentan evitar. Pero a veces sucede. La NSA presta mucha atención a esto porque la vulnerabilidad fue explotada por personas de Rusia y, presumiblemente, contra objetivos importantes para la NSA ”, dijo.
Todos los productos VMware afectados son soluciones de gestión de credenciales e infraestructura en la nube. Estos son, por ejemplo, VMware Cloud Foundation, VMware Workspace One Access y su predecesor VMware Identity Manager. La compañía dijo en un comunicado que "después de que apareció el problema, realizó un trabajo para evaluar la vulnerabilidad y publicó actualizaciones y parches para cerrarla". También se observa que la situación se evalúa como "importante", es decir, un nivel por debajo de "crítica". La razón es que los piratas informáticos deben tener acceso a una interfaz de administración web protegida por contraseña antes de que puedan aprovechar la vulnerabilidad. Una vez que un pirata informático obtiene acceso, puede aprovechar la vulnerabilidad para manipular las solicitudes de autenticación de reclamaciones SAML y así penetrar más profundamente en la red de la organización para obtener acceso a información confidencial.
La propia NSA en su mensaje dice que una contraseña segura reduce el riesgo de un ataque. Afortunadamente, los productos VMWare afectados están diseñados para que los administradores no utilicen contraseñas predeterminadas que serían fáciles de adivinar. Ben Reed de FireEye señala que si bien la explotación de este error requiere conocer primero la contraseña, no es un obstáculo insuperable, especialmente para los piratas informáticos rusos que tienen una amplia experiencia en piratear cuentas utilizando muchos métodos. Por ejemplo, rociado de contraseñas.
También señaló que en los últimos años, la cantidad de declaraciones públicas sobre la identificación de vulnerabilidades de día cero utilizadas por los piratas informáticos rusos ha disminuido. Por lo general, prefieren utilizar errores conocidos.
Recomendaciones de la NSA
Cuando muchos empleados trabajan de forma remota, puede resultar difícil utilizar las herramientas tradicionales de supervisión de red para identificar comportamientos potencialmente sospechosos. Sin embargo, la NSA dice que vulnerabilidades como el error de VMware plantean un problema único porque la actividad maliciosa aquí tiene lugar en conexiones cifradas basadas en web que son indistinguibles de la autenticación de los empleados. La NSA recomienda que los administradores de las organizaciones revisen los registros de la red en busca de declaraciones de salida que puedan indicar actividad sospechosa.
“Supervise sus registros de autenticación con regularidad para detectar inicios de sesión anormales, especialmente los exitosos. Vale la pena prestar atención a aquellos que utilizan fideicomisos establecidos, pero que provienen de direcciones inusuales o contienen propiedades inusuales ”, dijo el ministerio en un comunicado.
La NSA no dio más detalles sobre sus observaciones sobre la explotación de la vulnerabilidad por parte de piratas informáticos prorrusos. Sin embargo, según informes de los medios estadounidenses, los piratas informáticos de Rusia atacaron activamente la infraestructura de TI de EE. UU. Durante 2020. En particular, estaban interesados en objetivos entre el gobierno, la energía y otras estructuras importantes. Además, se informa que los piratas informáticos estuvieron activos durante las elecciones presidenciales.
Blog ITGLOBAL.COM - TI administrada, nubes privadas, IaaS, servicios de seguridad de la información para empresas: