NSA waarschuwt voor actief misbruik van lek in VMware Workspace One Access

[Captain Kirk]

De Amerikaanse geheime dienst NSA heeft vandaag een waarschuwing afgegeven voor een kwetsbaarheid in VMware Workspace One Access die actief wordt misbruikt door aanvallers. Volgens de waarschuwing van de NSA gaat het om door Rusland gesponsorde actoren die via het beveiligingslek kwetsbare servers overnemen.

Workspace One Access is een platform waarmee organisaties apps op smartphones, tablets en laptops kunnen installeren en beheren. De NSA ontdekte een kwetsbaarheid (CVE-2020-4006) in de software en waarschuwde VMware. Een aanvaller met toegang tot de configuratiemanager op poort 8443 en een geldig wachtwoord voor het beheerdersaccount kan door de kwetsbaarheid op het onderliggende besturingssysteem commando's met onbeperkte rechten uitvoeren.

Bij de aanvallen die de NSA heeft waargenomen installeren de aanvallers via het beveiligingslek een webshell. Vervolgens authenticeren de aanvallers zich bij Microsoft Active Directory Federation Services (ADFS) en krijgen zo toegang tot beveiligde data. Organisaties worden dan ook opgeroepen om de update van VMware meteen te installeren.

Is het installeren van de update niet mogelijk dan moeten organisaties mitigaties doorvoeren om de kans op een aanval te verkleinen. Verder adviseert de NSA om een veilig wachtwoord voor de managementinterface in te stellen. Wanneer wordt vermoed dat de server al is gecompromitteerd raadt de NSA aan om de serverlogs en configuratie van de authenticatieserver te controleren.

 

bron: https://www.security.nl