הביטקויין כבר חצה את ה- 50K דולר.
מה אם נגלה זה בא על חשבון הארגון שלך?
חברת VMware הינה בין חברות הוירטואליזציה הגדולות בעולם. בתקופה האחרונה אנו למדים על חולשות רבות במוצריה השונים בעלי חומרה קריטית אשר יכולות לפגוע בארגון, בפעילות העסקית שלו ואף באמינותו. חברת VMware שיחררה פתרונות "יצירתיים" ו-Patches מתאימים לצורך מיגור החולשות.
במאמר זה נתרכז בשני CVEs שונים אשר מהווים חולשות קריטיות שפורסמו בחודש האחרון.
שימו לב כי שימוש במערכת עדכון אוטומטית (Automated Patch Management) עד כמה שנשמע פשוט ונכון, לא מבוצע בארגונים רבים ולכן הארגון נמצא בחשיפה לתקיפות הללו.
החולשה הראשונה: CVE-2020-4006
מימוש ה-Workaround עד אשר יהיה Patch רשמי של חברת Vmware.
בתאריך 23.1.2020 פורסמה חולשה בדרגת CVSS גבוהה אשר איננה בעלת Patch רשמי לתיקון החולשה.
החולשה התגלתה במספר מוצרים של חברת VMware אשר מהווים חלק מרכזי בארגונים רבים.
נכון לכתיבת שורות אלה, הפתרון המוצע על ידי חברת VMware הינו לבצע Workaround (מעקף) זאת כדי למנוע מימוש החולשה. החולשה הינה מסוג Command Injection (הרצה של קוד זדוני למערכת) ו-Privilege Escalation (העלאת הרשאות משתמש במערכת באופן שלא הוגדר על ידי מנהל המערכת).
מימוש הפריצה מתבצע על בסיס פורט 8443 השמור להתחברות ל-administrative configurator בנוסף לסיסמא נכונה ל-configurator admin account אשר מאפשר למשתמש להריץ פקודות ללא הגבלת הרשאות.
המוצרים אשר חשופים לפגיעות הינם:
• VMware Workspace One Access v20.10 (Linux)
• VMware Workspace One Access v20.01 (Linux)
• VMware Identity Manager v3.3.3 (Linux)
• VMware Identity Manager v3.3.2 (Linux)
• VMware Identity Manager v3.3.1 (Linux)
• VMware Identity Manager Connector v3.3.2 and v3.3.1 (Linux)
• VMware Identity Manager Connector v3.3.3, 3.3.2, and v3.3.1 (Windows)
• VMware Cloud Foundation (vIDM) v4.x (running on any platform)
• vRealize Suite Lifecycle Manager (vIDM) v8.x (running on any platform)
החולשה השנייה: 3992-CVE-2020
יש לבצע התקנה של העדכון האחרון שיצא (Latest Patch, כיוון שהעדכון הראשוני היה לא יציב).
בתאריך 6.11.2020 פורסם Exploit לחולשה CVE-2020-3992 אשר הינה מסוג Remote Code Execution (הרצת קוד) על רכיב ה-ESXi (ה-Hypervisor של חברת VMware) אשר משתמש בחולשה ברכיב ה- Service location Protocol ובפורט 427. החולשה משתמשת בתקיפה מסוג Use-After-Free (UAF) (כאשר המערכת איננה מוחקת את ה-Pointer בזיכרון לאחר השימוש במערכת ובכך תוקף יכול להריץ קוד לאחר הפעלת Error במערכת)
החולשה "תוקנה" על ידי עדכון ב-20.10.20 אך הוא אינו מספק ולכן החברה שיחררה עדכון מתוקן ב-4.11.2020.
במידה ואירגונך עדכן ל-Patch הראשוני יש לבצע עדכון ל-Patch המעודכן.
במידה ותוקף מצליח לנצל חולשה זו הוא יכול לבצע הצפנה של ה-VMDK, לסגור שרתים, להפעיל Ransomware, לעקוף אמצעי אבטחה של מערכת ההפעלה ופעולות זדוניות נוספות.
המוצרים אשר חשופים לפגיעות הינם:
• ESXi 7.0
• ESXi 6.7
• ESXi 6.5
• VMware Cloud Foundation (ESXi) 4.x
• VMware Cloud Foundation (ESXi) 3.x
שימוש בטכנולוגיות וירטואליזציה משמשות כבסיס להרצה של מערכות בארגון. השגת שליטה על רכיבי הווירטואליזציה הארגוניים מהווים יעד מרכזי לתוקף ויעד מרכזי בהגנה על המערכות הארגוניות. כאשר ישנה חולשה ברכיבי הווירטואליזציה, מרחב התקיפה איננו מסתכם במערכת בודדת ולכן יש לבצע עדכונים במהירות האפשרית, זאת כדי למגר תקיפה רוחבית על הארגון אשר עלולה לפגוע בתהליכים עסקיים ובמקרים רבים אף לגרום להשבתה מלאה של הארגון.
חולשות מסוג זה נפוצות במערכות רבות. מערכת עדכונים אוטומטית מפשטת את התהליך בצורה משמעותית הן בטווח המיידי והן בטווח הרחוק אל מול חולשות עתידיות.
הביטקויין כבר חצה את ה- 50K דולר.
מה אם נגלה זה בא על חשבון הארגון שלך?
חברת VMware הינה בין חברות הוירטואליזציה הגדולות בעולם. בתקופה האחרונה אנו למדים על חולשות רבות במוצריה השונים בעלי חומרה קריטית אחר יכולות לפגוע בארגון, בפעילות העסקית שלו ואף באמינותו. חברת VMware שיחררה פתרונות "יצירתיים"
ו-Patches מתאימים לצורך מיגור החולשות.
במאמר זה נתרכז בשני CVEs שונים אשר מהווים חולשות קריטיות שפורסמו בחודש האחרון.
מיקרוסופט הפיצה השבוע את העדכון אבטחה החודשי CVE-2020-17807 אשר נועד לתקן פרצות אבטחה אשר נתגלו מאז העדכונים האחרונים.
חלק מפרצות האבטחה נתגלו ע"י חוקרי גוגל מפרויקט Zero-Days Google וחלקם מקושרות לפוגעניות אשר היו קיימות בדפדפן כרום ובמקביל במערכות הפעלה Windows OS הן למחשבים והן לשרתים.
