Der Anbieter selbst hat kürzlich ein Security Bulletin veröffentlicht, in dem er alle erforderlichen Schritte zur Beseitigung der Sicherheitsanfälligkeit beschrieb. Gleichzeitig appellierte die Cybersecurity and Infrastructure Protection Agency (CISA) an die Netzwerkadministratoren, die Sicherheitsanfälligkeit unverzüglich zu beheben. "Ein Hacker hätte eine Sicherheitslücke nutzen können, um die Kontrolle über das System zu übernehmen", heißt es in der Nachricht. Die NSA fordert die Netzwerkadministratoren des Nationalen Sicherheitssystems, des Verteidigungsministeriums und der gesamten Verteidigungsindustrie des Landes separat auf, die Sicherheitsanfälligkeit nach Möglichkeit unverzüglich zu beheben.
Sie sind nicht überall besorgt
Nicht jeder teilt die Besorgnis der NSA. Zum Beispiel sagt Ben Reed, leitender Cyberspionageanalyst beim Informationssicherheitsunternehmen FireEye, dass es in dieser Situation wichtig ist, nicht nur die Nachricht selbst zu analysieren, sondern auch, von wem sie stammt. „Diese Sicherheitslücke in Bezug auf ferngesteuerten Code versucht jedes Unternehmen zu vermeiden. Aber manchmal passiert es. Die NSA schenkt dem so viel Aufmerksamkeit, weil die Verwundbarkeit von Menschen aus Russland ausgenutzt wurde und vermutlich gegen Ziele, die für die NSA wichtig sind “, sagte er.
Alle betroffenen VMware-Produkte sind Lösungen für die Cloud-Infrastruktur und die Verwaltung von Anmeldeinformationen. Dies sind beispielsweise VMware Cloud Foundation, VMware Workspace One Access und sein Vorgänger VMware Identity Manager. Das Unternehmen sagte in einer Erklärung, dass "nachdem das Problem aufgetreten war, Arbeiten zur Bewertung der Sicherheitsanfälligkeit durchgeführt und Updates und Patches veröffentlicht wurden, um es zu schließen". Es wird auch angemerkt, dass die Situation als „wichtig“ bewertet wird, dh eine Ebene unter „kritisch“. Der Grund dafür ist, dass Hacker Zugriff auf eine kennwortgeschützte Webverwaltungsoberfläche haben müssen, bevor sie die Sicherheitsanfälligkeit ausnutzen können. Sobald ein Hacker Zugriff erhält, kann er die Sicherheitsanfälligkeit ausnutzen, um die Authentifizierungsanforderungen für SAML-Ansprüche zu manipulieren, und so tiefer in das Netzwerk des Unternehmens eindringen, um Zugriff auf vertrauliche Informationen zu erhalten.
Die NSA selbst sagt in ihrer Nachricht, dass ein sicheres Passwort das Risiko eines Angriffs verringert. Glücklicherweise sind die betroffenen VMWare-Produkte so konzipiert, dass Administratoren keine Standardkennwörter verwenden, die leicht zu erraten sind. Ben Reed von FireEye merkt an, dass das Ausnutzen dieses Fehlers zwar die Kenntnis des Kennworts erfordert, jedoch kein unüberwindbares Hindernis darstellt, insbesondere für russische Hacker, die über umfangreiche Erfahrung im Hacken von Konten mit vielen Methoden verfügen. Zum Beispiel Passwortsprühen.
Er stellte außerdem fest, dass in den letzten Jahren die Anzahl der öffentlichen Äußerungen zur Identifizierung von Zero-Day-Schwachstellen, die von russischen Hackern genutzt werden, zurückgegangen ist. Sie bevorzugen normalerweise die Verwendung bekannter Bugs.
Empfehlungen der NSA
Wenn viele Mitarbeiter remote arbeiten, kann es schwierig sein, herkömmliche Netzwerküberwachungstools zu verwenden, um potenziell verdächtiges Verhalten zu identifizieren. Die NSA sagt jedoch, dass Schwachstellen wie der VMware-Fehler ein einzigartiges Problem darstellen, da die böswillige Aktivität hier in verschlüsselten webbasierten Verbindungen stattfindet, die nicht von der Mitarbeiterauthentifizierung zu unterscheiden sind. Die NSA fordert Administratoren von Organisationen auf, die Netzwerkprotokolle auf Exit-Anweisungen zu überprüfen, die auf verdächtige Aktivitäten hinweisen können.
„Überwachen Sie Ihre Authentifizierungsprotokolle regelmäßig auf abnormale Anmeldungen, insbesondere auf erfolgreiche. Es lohnt sich, auf diejenigen zu achten, die etablierte Trusts verwenden, aber von ungewöhnlichen Adressen stammen oder ungewöhnliche Eigenschaften enthalten “, sagte das Ministerium in einer Erklärung.
Die NSA ging nicht auf ihre Beobachtungen zur Ausnutzung der Sicherheitslücke durch pro-russische Hacker ein. US-Medienberichten zufolge haben Hacker aus Russland die US-amerikanische IT-Infrastruktur im Jahr 2020 aktiv angegriffen. Insbesondere interessierten sie sich für Ziele zwischen Regierung, Energie und anderen wichtigen Strukturen. Darüber hinaus wird berichtet, dass die Hacker während der Präsidentschaftswahlen aktiv waren.
Blog ITGLOBAL.COM - Managed IT, Private Clouds, IaaS, Informationssicherheitsdienste für Unternehmen: