La National Security Agency (NSA) des États-Unis a publié lundi un consultatif avertissant que les acteurs de la menace russes exploitent la vulnérabilité VMware récemment révélée pour installer des logiciels malveillants sur les systèmes d’entreprise et accéder aux données protégées.

Les spécificités concernant l’identité de l’acteur menaçant exploitant la faille VMware ou le moment où ces attaques ont commencé n’ont pas été divulguées.

Le développement intervient deux semaines après que l’éditeur de logiciels de virtualisation a révélé publiquement la faille – affectant les produits VMware Workspace One Access, Access Connector, Identity Manager et Identity Manager Connector pour Windows et Linux – sans publier de correctif et trois jours après la publication d’une mise à jour logicielle pour répare le.

Fin novembre, VMware a poussé solutions de contournement temporaires pour résoudre le problème, déclarant que des correctifs permanents pour la faille étaient «à venir». Mais ce n’est que le 3 décembre que le bogue d’escalade des privilèges a été entièrement résolu.

Le même jour, la Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis a publié un bref bulletin encourager les administrateurs à examiner, appliquer et corriger dès que possible.

Suivi comme CVE-2020-4006, le injection de commande La vulnérabilité a initialement reçu un score CVSS de 9,1 sur un maximum de 10, mais a été révisée la semaine dernière à 7,2 pour refléter le fait qu’un acteur malveillant doit posséder des informations d’identification valides pour le compte administrateur du configurateur afin de tenter une exploitation.

«Ce compte est interne aux produits concernés et un mot de passe est défini au moment du déploiement», a déclaré VMware dans son consultatif. « Un acteur malveillant doit posséder ce mot de passe pour tenter d’exploiter CVE-2020-4006. »

Bien que VMware n’ait pas explicitement mentionné que le bogue était exploité activement dans la nature, selon la NSA, les adversaires exploitent maintenant la faille pour lancer des attaques afin de voler des données protégées et d’abuser des systèmes d’authentification partagés.

« L’exploitation via l’injection de commandes a conduit à l’installation d’un shell Web et à une activité malveillante consécutive où des informations d’identification sous la forme d’assertions d’authentification SAML ont été générées et envoyées aux services de fédération Microsoft Active Directory, qui à leur tour ont accordé aux acteurs l’accès aux données protégées, « a déclaré l’agence.

SAML ou Security Assertion Markup Language est un standard ouvert et un balisage XML pour l’échange de données d’authentification et d’autorisation entre les fournisseurs d’identité et les fournisseurs de services afin de faciliter la connexion unique (SSO).

En plus d’exhorter les organisations à mettre à jour les systèmes concernés vers la dernière version, l’agence a également recommandé de sécuriser l’interface de gestion avec un mot de passe fort et unique.

En outre, la NSA a conseillé aux entreprises de surveiller régulièrement les journaux d’authentification pour les authentifications anormales ainsi que d’analyser leurs journaux de serveur pour la présence de «déclarations de sortie» qui peuvent suggérer une activité d’exploitation possible.