NSA แจ้งเตือนถึงกลุ่มแฮกเกอร์ชาวรัสเซียกำลังใช้ประโยชน์จากช่องโหว่ใน VMware Workspace One ทำการขโมยข้อมูลที่มีความละเอียดอ่อน

สำนักงานความมั่นคงแห่งชาติ (National Security Agency - NSA) ได้ออกแจ้งเตือนถึงกลุ่มแฮกเกอร์ที่ได้รับการสนับสนุนจากรัฐบาลของรัสเซียกำลังใช้ประโยชน์จากช่องโหว่ CVE-2020-4006 ในผลิตภัณฑ์ VMware Workspace One ที่เพิ่งได้รับการแก้ไขช่องโหว่ในการขโมยข้อมูลที่มีความละเอียดอ่อนจากเป้าหมาย

ช่องโหว่ CVE-2020-4006 เป็นช่องโหว่ Command injection ช่องโหว่ถูกพบใน Administrative configurator ของ VMware Workspace ONE Access บางรุ่น, Access Connector, Identity Manager และ Identity Manager Connector โดยผู้โจมตีที่สามารถเข้าถึงระบบ Administrative configurator ในเครือข่ายด้วยพอร์ต 8443 และมีรหัสผ่านที่ถูกต้องของ VMware สามารถรันคำสั่งบนระบบปฏิบัติการด้วยสิทธิ์เต็มของผู้ดูแลระบบระบบปฏิบัติการได้ ซึ่งผลิตภัณฑ์ที่ได้รับผลกระทบจากช่องโหว่นี้ได้แก่

VMware Workspace One Access 20.10 (Linux)
VMware Workspace One Access 20.01 (Linux)
VMware Identity Manager 3.3.1 ถึง 3.3.3 (Linux)
VMware Identity Manager Connector 3.3.2, 3.3.1 (Linux)
VMware Identity Manager Connector 3.3.3, 3.3.2, 3.3.1 (Windows)
การตรวจจับการโจมตีเกิดจากที่ทาง NSA ได้สังเกตเห็นกลุ่มแฮกเกอร์ที่ได้ทำการเชื่อมต่อกับอินเทอร์เฟซ Administrative configurator ในผลิตภัณฑ์ที่มีช่องโหว่และทำการแทรกซึมเครือข่ายขององค์กรเพื่อติดตั้ง Web shell หลังจากนั้นกลุ่มแฮกเกอร์ได้ใช้ Web shell ทำการขโมยข้อมูลที่มีความละเอียดอ่อน โดยใช้ SAML credential เพื่อเข้าถึงเซิร์ฟเวอร์ Microsoft Active Directory Federation Services (ADFS) ภายในเครือข่าย

ทั้งนี้ผู้ดูแลระบบทำการอัปเดตแพตช์ความปลอดภัยเป็นการด่วน เพื่อเป็นการป้องกันผู้ประสงค์ร้ายทำการโจมตีระบบ ทั้งนี้ผู้ดูแลระบบสามารถเข้าไปดูรายละเอียดและดาวน์โหลดแพตช์เพิ่มเติมได้ที่: vmware

ที่มา: bleepingcomputer | securityaffairs