美国政府网络安全机构本周警告说,网络软件公司SolarWinds的妥协产生了广泛的黑客热潮,其攻击者利用其他非SolarWinds产品的弱点来攻击高价值目标。消息人士称,其中包括软件虚拟化平台VMware中的一个漏洞,美国国家安全局(NSA)于12月7日警告说,俄罗斯黑客正利用该漏洞在受害网络上模拟授权用户。
NSA于2020年12月7日说:“俄罗斯政府资助的恶意网络参与者正在利用VMware Access和VMware Identity Manager产品中的漏洞,从而允许参与者访问受保护的数据并滥用联合身份验证。”
VMware于12月3日发布了软件更新以填补安全漏洞(CVE-2020-4006),并表示已从NSA了解到该漏洞。
NSA咨询(PDF)发生在网络事件响应公司FireEye不到24小时之前,该公司发现攻击者闯入了其网络,并盗窃了该公司开发的300多种专有软件工具,以帮助客户保护其网络安全。
12月13日,FireEye披露此事件是SolarWinds入侵的结果,该事件涉及将恶意代码秘密插入到SolarWinds为其Orion网络管理软件的用户提供的更新中,最早可追溯到2020年3月。
美国国家安全局(NSA)在有关VMware漏洞的咨询中,敦促“尽快”对其进行修补,特别鼓励国家安全系统,国防部和国防承包商将其作为高度优先事项。
美国国家安全局(NSA)表示,为了利用此特定漏洞,黑客已经需要访问易受攻击的VMware设备的管理界面,即,他们必须位于目标的内部网络中(前提是无法从易受攻击的VMware接口访问该易受攻击的VMware接口)。互联网)。但是,SolarWinds的妥协本来可以很好地提供内部访问权限。
在回应KrebsOnSecurity的问题时,VMware表示“没有收到有关CVE 2020-4006与SolarWinds供应链折衷方案一起使用的通知或指示。”
VMware补充说,尽管其自己的某些网络使用了易受攻击的SolarWinds Orion软件,但迄今为止的一项调查显示,没有证据表明存在被利用的迹象。
该公司在一份声明中说:“虽然我们已经确定了环境中易受攻击的SolarWinds Orion软件的有限实例,但我们自己的内部调查并未发现任何被利用的迹象。” “迄今为止,SolarWinds自己的调查也证实了这一点。”
12月17日,美国国土安全部(DHS)的网络安全和基础架构安全局(CISA)发布了关于SolarWinds攻击的清醒警报,并指出CISA有证据表明,除了SolarWinds Orion平台之外,还有其他访问媒介。
CISA的咨询特别指出:“攻击者实现此目标的主要方法之一是使用其升级的Active Directory特权来破坏安全声明标记语言(SAML)签名证书。一旦完成此操作,对手就会创建未经授权但有效的令牌,并将其提供给信任来自环境的SAML令牌的服务。然后,这些令牌可用于访问托管环境(如电子邮件)中的资源,以通过授权的应用程序编程接口(API)进行数据泄露。”
实际上,NSA在12月7日的公告中说,它看到的涉及VMware漏洞的黑客活动“导致了Web Shell的安装以及后续的恶意活动,在这些恶意活动中,以SAML身份验证断言的形式生成凭据并将其发送到Microsoft Active Directory联合身份验证服务(ADFS),反过来又授权参与者访问受保护的数据。”
同样在12月17日,美国国家安全局(NSA)发布了更详细的公告,解释了它如何看到VMware漏洞被用来伪造SAML令牌,这一次专门引用了SolarWinds的妥协。
当被问及潜在的连接时,美国国家安全局仅说:“如果恶意的网络参与者通过SolarWinds的入侵获得了对网络的初始访问权,我们12月17日的咨询中提到的TTP(策略,技术和程序)可能会被用来伪造凭证并保持持久性。访问。”
国家安全局表示:“无论采用哪种初始访问方法,我们在此通报中的指导都有助于发现并缓解这种情况。”
CISA的分析表明,SolarWinds入侵背后的骗局主要集中在模拟目标网络上的受信任人员,并且他们设计了巧妙的方法来绕过保护目标网络的多因素身份验证(MFA)系统。
该公告引用了安全公司Volexity在本周早些时候发布的研究报告,该报告描述了使用新颖技术绕过Duo为Microsoft Outlook Web App(OWA)用户提供的MFA保护而遇到的相同攻击者。
Duo的母公司Cisco Systems Inc.回应说,Volexity描述的攻击并未针对其产品中的任何特定漏洞。正如Ars Technica解释的那样,涉及Duo保护的绕过攻击可能同样容易涉及Duo的任何竞争对手。
“ MFA威胁建模通常不包括OWA服务器的完整系统危害,” Ars的Dan Goodin写道。 “黑客获得的访问级别足以阻止任何防御。”
包括《纽约时报》和《华盛顿邮报》在内的多家媒体援引匿名政府消息人士的话说,SolarWinds攻击背后的组织被称为APT29或“舒适熊”,这是一个高级威胁组织,据信是俄罗斯联邦安全局的一部分(FSB)。
SolarWinds已表示,将有近18,000个客户收到了后门Orion软件更新。到目前为止,只有极少数以SolarWinds攻击背后的可疑俄罗斯黑客为目标的客户被公开了,包括美国商务,能源和财政部以及国土安全部。
毫无疑问,我们将在未来几天和几周内听到公共和私营部门的新受害者。同时,成千上万的组织在确定它们是否受到威胁以及如何处理时面临着难以置信的昂贵,破坏性和耗时的工作。
CISA的通知指出,SolarWinds背后的攻击者折衷了受害公司的目标关键人员,包括网络事件响应人员和IT电子邮件帐户。该警告建议那些怀疑自己是受害者的组织应假设其电子邮件通信和内部网络流量受到威胁,并依靠或构建带外系统在内部讨论他们将如何进行清理。
“如果攻击者破坏了环境中的管理级别凭据,或者组织识别了该环境中的SAML滥用,仅缓解单个问题,系统,服务器或特定用户帐户就不会导致攻击者从网络中删除。”警告。 “在这种情况下,组织应将整个身份信任存储区视为受损。在完全破坏身份的情况下,需要完全重建身份和信任服务才能成功进行补救。在这种重建中,值得重申的是,这一威胁行动者是最有能力的行动者,而且在许多情况下,全面重建环境是最安全的行动。”