cve - 2020 - 4006: VMware命令注入漏洞利用俄罗斯政府威胁演员
![](http://www.yyueer.com/sites/default/files/images/articles/Banner-Blog-Research-VulnExploited_2.jpg)
国家安全局警告说,俄罗斯政府威胁演员正在利用一个重要VMware在野外的脆弱性。
背景
12月7日,美国国家安全局(NSA)发表了一篇网络安全咨询关于在野外剥削,由俄罗斯政府威胁演员,几个VMware产品的一个漏洞。
VMware的漏洞被国安局透露,细节发表在一个安全咨询,vmsa 0027.2 - 2020,11月23日。当时,没有补丁,虽然VMware提供一套解决方案。
分析
cve - 2020 - 4006是一个命令注入漏洞在管理组件配置器在某些版本的VMware产品。受影响的产品包括:
- VMware工作区一个访问(访问)
- VMware工作区一个访问连接器(访问连接器)
- VMware Identity Manager(vIDM)
- VMware Identity Manager连接器(vIDM连接器)
- VMware云基础
- vRealize套件Lifecycle Manager
有两个先决条件需要利用这个安全漏洞:
- 首先,攻击者需要建立网络访问,以连接到管理配置器,通常可通过端口8443
- 第二,攻击者需要有有效的管理员凭证以登录到配置器
虽然这些先决条件可能像是一种阻碍潜在剥削,国安局报道,俄罗斯国家资助的演员成功利用此漏洞在野外零日。
利用cve - 2020 - 4006访问受保护的数据
根据美国国家安全局顾问,俄罗斯政府威胁演员利用这个漏洞安装web层,恶意脚本,该脚本可用于启用远程管理,到脆弱的系统。通过这次访问,威胁演员可能进一步访问受保护的数据通过发送伪造的安全性断言标记语言(SAML)身份验证断言Microsoft Active Directory联合服务(ADFS)。
冲突CVSSv3分数赋值
VMware分配一个CVSSv3得分为9.1当他们的咨询在11月23日首次出版。然而,在随后的更新,他们修改了CVSSv3得分降至7.2由于改变了标准范围。他们最初的评估脆弱性导致的结论是,开发将改变范围(C),这意味着它可能影响的范围以外的资源管理配置器。然而,在进一步审查,似乎将范围不变(U)在剥削。
第二个国家安全局顾问在2020年与俄罗斯国家资助的活动
这一最新漏洞在VMware产品标志着国家安全局今年的第二次咨询关于俄罗斯政府威胁演员活动。今年5月,美国国家安全局发表了一篇网络安全咨询强调演员使用的威胁cve - 2019 - 10149在进出口、远程命令执行漏洞——开源邮件传输代理——这是一个受欢迎的在野外快速开发披露后不久。
在2020年第二个弱点归功于美国国家安全局
cve - 2020 - 4006也标志着国家安全局的第二次披露2020年供应商。今年开始与美国国家安全局披露cve - 2020 - 0601,一个关键欺骗漏洞在Microsoft Windows核心加密模块,crypt32。dll,使认证和加密消息传递功能CryptoAPI。一些研究者开始把缺陷的“曲球”或“傻瓜链”在描述它的一部分证据的概念和博客文章。
概念验证
在这篇文章发表的时候,没有可用于这种脆弱性概念验证代码。然而,根据美国国家安全局顾问,威胁演员拥有工作利用代码,他们在野外用作攻击的一部分。
解决方案
VMware发布了补丁为了解决行政配置器的cve - 2020 - 4006。下表包含了影响VMware产品和版本:
VMware产品 | 影响版本 | 操作系统 |
---|---|---|
工作空间一个访问 | 20.01,20.01 | Linux |
VMware Identity Manager | 3.31,3.32,3.3.3 | Linux |
VMware Identity Manager连接器 | 3.31,3.32 | Linux |
VMware Identity Manager连接器 | 3.31,3.32,3.33 | 窗户 |
VMware Identity Manager连接器 | 19.03,19.03.0.1 | 窗户 |
影响版本低于在应用补丁之前,VMware建议备份特定的文件夹在Linux和Windows安装作为预防措施。
Linux版本:
/ opt / vmware / /工作区/ webapps / cfg
/ opt / vmware / /工作区/ webapps / hc
请注意,工作空间一个访问版本20.01和20.10不需要备份/ webapps / hc文件夹。
Windows版本:
INSTALLLOCATION \ opt \ vmware \ \ workspace \ webapps \ cfg
INSTALLLOCATION \ opt \ vmware \ \ workspace \ webapps \ hc
确定影响系统
站得住脚的插件的列表来确定这个漏洞将会出现在这里当他们被释放。
获得更多的信息
- vmsa - 2020 - 0027.2:安全cve - 2020 - 4006咨询
- 国安局网络安全顾问对俄罗斯国家资助的演员利用cve - 2020 - 4006
- 补丁为工作区cve - 2020 - 4006一个访问,Identity Manager和连接器(81754)
加入站不住脚的安全响应团队站得住脚的社区。
了解更多关于站得住脚的,第一个网络曝光平台整体管理的现代攻击表面。
得到一个天的免费试用站得住脚的。io脆弱性管理。