NSA 警告：在主动攻击下修补 VMware 漏洞

联邦政府警告说，对手正在利用VMware的Workspace One Access和VMware Identity Manager产品中已存在数周的漏洞。

针对VMware工作空间One Access漏洞的积极攻击仍在继续，三天前，该供应商修补了该漏洞，并敦促客户修复该漏洞(当时被归类为零日漏洞)。现在，美国国家安全局（nsa）加剧了担忧，并在周一警告称，外国对手已经开始利用该漏洞，特别是VMware的Workspace One Access及其Identity Manager产品。

这些VMware产品是受命令注入漏洞影响的12个产品中的2个，名叫为CVE-2020-4006，并在星期五进行了修补。当时，VMware表示没有真实利用的报道。

根据国家安全局（NSA）的说法，俄罗斯国家威胁者现在正在利用此漏洞发起攻击，以窃取受保护的数据并滥用共享身份验证系统。

“通过命令注入进行的利用导致了Web Shell的安装和后续的恶意活动，其中以SAML身份验证断言的形式生成凭据并将其发送到Microsoft Active Directory联合身份验证服务，而Microsoft Active Directory Federation Services则授予参与者NSA在其安全公告（PDF）中写道。

SAML代表安全性声明标记语言，这是组织用于交换身份验证和授权数据的标准。SAML主要用作在Web域之间启用单点登录的一种方式。

NSA写道：“在运行执行身份验证的产品时，至关重要的是正确配置服务器及其依赖的所有服务以进行安全操作和集成。” “否则，可以伪造SAML断言，从而授予对众多资源的访问权限。如果将身份验证服务器与ADFS集成在一起，NSA建议遵循Microsoft的最佳做法，尤其是在保护SAML声明和要求多因素身份验证方面。”

VMware最初于11月下旬披露了该漏洞，并将其识别为特权升级漏洞，该漏洞会影响适用于Windows和Linux操作系统的Workspace One Access和其他平台。有12个产品版本受到该漏洞的影响。

星期五，VMware敦促客户尽快将受影响的系统更新到最新版本，以缓解此问题。周一，美国国家安全局（NSA）敦促IT安全团队审查并强化联合身份验证提供程序的配置和监视。NSA（PDF）和VMware描述了许多缓解措施的详细信息。

“在网络上可以通过端口8443访问管理配置程序的恶意行为者以及配置程序管理员帐户的有效密码，可以在底层操作系统上以不受限制的特权执行命令，” VMware在上周的更新通报中写道。

当时，VMware将该漏洞的CVSS严重等级从“严重”修订为“重要”。它解释说，攻击者需要事先知道与使用一种产品相关的密码才能利用此漏洞。

它写道，密码将需要通过网络钓鱼或暴力破解/凭证填充等策略获得。

周一，国土安全部的US-CERT也更新了有关该漏洞的现有安全公告。但是，该机构并未将攻击归因于任何特定的群体。