Hintergrund
Im November enthüllteVMware eine Schwachstelle in VMWare WorkSpace ONE Access (früher bekannt als VMware Identity Manger). Die Schwachstelle wird unter der Bezeichnung CVE-2020-4006 geführt. Die NSA hat davor gewarnt, dass russische staatlich gesponserte Hacker diese Schwachstelle aktiv ausnutzen, und hat diesen Hinweis gegeben. Die Schwachstelle kann genutzt werden, um schändlich auf die webbasierte Verwaltungsoberfläche des Systems zuzugreifen und beliebige Befehle mit erhöhten Rechten auf Betriebssystemebene auszuführen. Letztendlich erlaubt die Schwachstelle dem Angreifer, föderierte Authentifizierungsmechanismen auszunutzen, um Anmeldedaten zu fälschen und auf geschützte Daten zuzugreifen.
Wie kann man das erkennen?
Basierend auf den Informationen, die VMware in ihrem Advisory zur Verfügung gestellt hat, hat OPSWAT die Möglichkeit hinzugefügt, die CVE auf einem Gerät zu erkennen und sie in MetaDefender Access zu melden. Wenn sie entdeckt wird, wird sie sowohl im MetaDefender Access Management-Portal als auch an den Benutzer des infizierten Computers und den MetaDefender Endpoint , auf dem das Gerät läuft, gemeldet.
Ein Beispiel für ein CVE, das einem Benutzer des Geräts gemeldet wird:
Wie kann man Abhilfe schaffen und vorbeugen?
Nachdem MetaDefender Access verwundbare Maschinen gefunden hat, kann der Patch aufgespielt und die Geräte anschließend erneut gescannt werden. Darüber hinaus werden Sie durch die automatische/fortlaufende Überprüfung auf diese Schwachstelle gewarnt, wenn eine Maschine mit einer älteren Konfiguration, die die Schwachstelle enthält, online gestellt wird.
Wie kann man ähnliche Angriffe verhindern?
Da Angriffe auf weit verbreitete Identitätsanbieter wie dieser schwerwiegend und folgenreich sind, hat die NSA eine Empfehlungherausgegeben herausgegeben, wie Systeme erkannt, entschärft und gehärtet werden können, um Angriffe auf diese spezielle Schwachstelle und andere ähnliche Angriffe, die wahrscheinlich unentdeckt bleiben, zu vermeiden.
Wie allgemein bekannt ist und das NSA-Dokument unterstreicht, beginnen diese und viele andere Angriffe mit der Ausnutzung von ungepatchten Endpunkten, auf denen veraltete Software läuft. MetaDefender Access kann mit seinen Advanced Endpoint Protection-Fähigkeiten weit mehr als nur dafür sorgen, dass die Endgeräte gepatcht und auf dem neuesten Stand sind. Es kann verhindern, dass sie eine Verbindung herstellen, wenn sie nicht mit einer langen Liste von Gesundheits- und Sicherheitsprüfungen konform sind.
Um Angriffe auf die Verwaltungsschnittstelle einer Sicherheitsinfrastruktur zu verhindern, ist es seit langem üblich, diese Schnittstellen zu segmentieren - und mit Funktionen wie einem Software Defined PerimeterSDP) kann diese Segmentierung viel sicherer und einfacher zu verwalten sein. MetaDefender Access kombiniert den Netzwerksegmentierungsschutz von SDP mit seiner Advanced Endpoint Protection und stellt so sicher, dass der Netzwerkendpunkt der Verwaltungsschnittstelle unerreichbar ist, bis das Gerät, das eine Verbindung herzustellen versucht, als vertrauenswürdig eingestuft wird.
MetaDefender Access macht es einfach, solche Management-Schnittstellen zu schützen. Nachdem das Gateway eingerichtet ist, muss nur noch die zu schützende Anwendung definiert werden - in diesem Fall die WorkSpace ONE Access Management-Konsole:
Wie Sie mehr Informationen erhalten.
Wenn Sie mehr darüber erfahren möchten, wie OPSWAT MetaDefender Access zum Schutz Ihrer kritischen Infrastruktur beitragen kann, kontaktieren Sie uns noch heute.
Referenzen
CVE-2020-4006 VMware-Beratung VMSA-2020-0027.2 (vmware.com)
NSA warnt: Russische Hacker nutzen kürzlich gepatchte VMware-Schwachstelle aus | SecurityWeek.com
NSA Cybersecurity Advisory: Böswillige Akteure missbrauchen Authentifizierungsmechanismen für den Zugriff auf Cloud > Sechzehnte Luftwaffe (Air Forces Cyber) > Nachrichten (af.mil)
Anforderungen an die System- und Netzwerkkonfiguration (vmware.com)
