idNSA.id – The US National Security Agency (NSA), mengeluarkan peringatan bahwa pelaku ancaman Rusia memanfaatkan kerentanan VMware yang baru-baru ini diungkapkan untuk menginstal malware pada sistem perusahaan dan mengakses data yang dilindungi.
Hal spesifik mengenai identitas pelaku ancaman yang mengeksploitasi cacat VMware atau saat serangan ini dimulai tidak diungkapkan.
Pengembangan tersebut dilakukan dua minggu setelah perusahaan perangkat lunak virtualisasi secara publik mengungkapkan kekurangan tersebut — memengaruhi produk VMware Workspace One Access, Access Connector, Identity Manager, dan Identity Manager Connector untuk Windows dan Linux — tanpa merilis patch dan tiga hari setelah merilis pembaruan perangkat lunak untuk memperbaikinya.
Pada akhir November, VMware mendorong solusi sementara untuk mengatasi masalah tersebut, dengan menyatakan bahwa patch permanen untuk kekurangan tersebut "segera hadir". Tetapi baru pada tanggal 3 Desember bug eskalasi-hak istimewa sepenuhnya diselesaikan.
Pada hari yang sama, the US Cybersecurity and Infrastructure Security Agency (CISA) mengeluarkan buletin singkat yang mendorong administrator untuk meninjau dan menerapkan serta menambal sesegera mungkin.
Dilacak sebagai CVE-2020-4006 , kerentanan injeksi perintah awalnya diberi skor CVSS 9,1 dari maksimum 10 tetapi direvisi minggu lalu menjadi 7,2 untuk mencerminkan fakta bahwa malicious aktor malicious harus memiliki kredensial yang valid untuk akun admin konfigurator untuk mencoba eksploitasi.
"Akun ini bersifat internal untuk produk yang terkena dampak dan kata sandi ditetapkan pada saat penerapan," kata VMware dalam penasehatnya . " Malicious Aktor harus memiliki sandi ini untuk mencoba mengeksploitasi CVE-2020-4006."
Meskipun VMware tidak secara eksplisit menyebutkan bug itu sedang dieksploitasi secara aktif di publik, menurut NSA, musuh sekarang memanfaatkan kekurangan tersebut untuk meluncurkan serangan untuk mencuri data yang dilindungi dan menyalahgunakan sistem otentikasi bersama.
"Eksploitasi melalui injeksi perintah menyebabkan penginstalan shell web dan mengikuti aktivitas berbahaya di mana kredensial dalam bentuk pernyataan otentikasi SAML dibuat dan dikirim ke Microsoft Active Directory Federation Services, yang pada gilirannya memberikan akses kepada pelaku ke data yang dilindungi, "kata agen itu.
SAML atau Security Assertion Markup Language adalah standar terbuka dan markup berbasis XML untuk bertukar data autentikasi dan otorisasi antara penyedia identitas dan penyedia layanan untuk memfasilitasi sistem single sign-on ( SSO ).
Selain mendesak organisasi untuk memperbarui sistem yang terpengaruh ke versi terbaru, badan tersebut juga merekomendasikan untuk mengamankan antarmuka manajemen dengan kata sandi yang kuat dan unik.
Selain itu, NSA menyarankan perusahaan untuk secara teratur memantau log otentikasi untuk otentikasi yang tidak wajar serta memindai log server mereka untuk mengetahui adanya "pernyataan keluar" yang dapat menyarankan kemungkinan aktivitas eksploitasi.
Sumber Artikel: TheHackerNews
