NSA 警告：在主動攻擊下修補 VMware 漏洞

聯邦政府警告說，對手正在利用VMware的Workspace One Access和VMware Identity Manager產品中已存在數周的漏洞。

針對VMware工作空間One Access漏洞的積極攻擊仍在繼續，三天前，該供應商修補了該漏洞，并敦促客戶修復該漏洞(當時被歸類為零日漏洞)。現在，美國國家安全局（nsa）加劇了擔憂，并在周一警告稱，外國對手已經開始利用該漏洞，特別是VMware的Workspace One Access及其Identity Manager產品。

這些VMware產品是受命令注入漏洞影響的12個產品中的2個，名叫為CVE-2020-4006，并在星期五進行了修補。當時，VMware表示沒有真實利用的報道。

根據國家安全局（NSA）的說法，俄羅斯國家威脅者現在正在利用此漏洞發起攻擊，以竊取受保護的數據并濫用共享身份驗證系統。

“通過命令注入進行的利用導致了Web Shell的安裝和后續的惡意活動，其中以SAML身份驗證斷言的形式生成憑據并將其發送到Microsoft Active Directory聯合身份驗證服務，而Microsoft Active Directory Federation Services則授予參與者NSA在其安全公告（PDF）中寫道。

SAML代表安全性聲明標記語言，這是組織用于交換身份驗證和授權數據的標準。SAML主要用作在Web域之間啟用單點登錄的一種方式。

NSA寫道：“在運行執行身份驗證的產品時，至關重要的是正確配置服務器及其依賴的所有服務以進行安全操作和集成。” “否則，可以偽造SAML斷言，從而授予對眾多資源的訪問權限。如果將身份驗證服務器與ADFS集成在一起，NSA建議遵循Microsoft的最佳做法，尤其是在保護SAML聲明和要求多因素身份驗證方面。”

VMware最初于11月下旬披露了該漏洞，并將其識別為特權升級漏洞，該漏洞會影響適用于Windows和Linux操作系統的Workspace One Access和其他平臺。有12個產品版本受到該漏洞的影響。

星期五，VMware敦促客戶盡快將受影響的系統更新到最新版本，以緩解此問題。周一，美國國家安全局（NSA）敦促IT安全團隊審查并強化聯合身份驗證提供程序的配置和監視。NSA（PDF）和VMware描述了許多緩解措施的詳細信息。

“在網絡上可以通過端口8443訪問管理配置程序的惡意行為者以及配置程序管理員帳戶的有效密碼，可以在底層操作系統上以不受限制的特權執行命令，” VMware在上周的更新通報中寫道。

當時，VMware將該漏洞的CVSS嚴重等級從“嚴重”修訂為“重要”。它解釋說，攻擊者需要事先知道與使用一種產品相關的密碼才能利用此漏洞。

它寫道，密碼將需要通過網絡釣魚或暴力破解/憑證填充等策略獲得。

周一，國土安全部的US-CERT也更新了有關該漏洞的現有安全公告。但是，該機構并未將攻擊歸因于任何特定的群體。