ベンダー自身が最近セキュリティ情報をリリースし、脆弱性を排除するために必要なすべての手順を説明しました。同時に、Cybersecurity and Infrastructure Protection Agency(CISA)は、ネットワーク管理者に脆弱性をただちに修正するように訴えました。「ハッカーはこの脆弱性を利用してシステムを制御できた可能性があります」とメッセージは述べています。NSAは、国家安全保障システム、国防総省、および国の防衛産業全体のネットワーク管理者に、可能な限り直ちに脆弱性に対処するように個別に求めています。
彼らはどこでも心配していません
誰もがNSAの懸念を共有しているわけではありません。たとえば、情報セキュリティ会社FireEyeの上級サイバースパイアナリストであるBen Reedは、この状況では、メッセージ自体だけでなく、メッセージの送信元も分析することが重要であると述べています。 「このリモートで実行されるコードの脆弱性は、すべての企業が回避しようとしているものです。しかし時々それは起こります。脆弱性がロシアの人々によって、そしておそらくNSAにとって重要な標的に対して悪用されたため、NSAはこれに非常に注意を払っています」と彼は言いました。
影響を受けるVMware製品はすべて、クラウドインフラストラクチャと資格管理ソリューションです。これらは、たとえば、VMware Cloud Foundation、VMware Workspace One Access、およびその前身であるVMware IdentityManagerです。同社は声明の中で、「問題が発生した後、脆弱性を評価する作業を実施し、脆弱性を解決するためのアップデートとパッチを公開した」と述べた。また、状況は「重要」、つまり「重大」より1レベル低いと評価されていることにも注意してください。その理由は、ハッカーが脆弱性を悪用する前に、パスワードで保護されたWeb管理インターフェイスにアクセスできる必要があるためです。ハッカーがアクセスを取得すると、脆弱性を悪用してSAMLクレーム認証要求を操作し、組織のネットワークに深く侵入して機密情報にアクセスできます。
NSA自体のメッセージには、強力なパスワードが攻撃のリスクを軽減すると書かれています。幸い、影響を受けるVMWare製品は、管理者が推測しやすいデフォルトのパスワードを使用しないように設計されています。FireEyeのBenReedは、このエラーを悪用するには最初にパスワードを知る必要がありますが、特に多くの方法を使用してアカウントをハッキングした豊富な経験を持つロシアのハッカーにとって、克服できない障害ではないと述べています。たとえば、パスワードスプレー。
彼はまた、過去数年間で、ロシアのハッカーによって使用されたゼロ日の脆弱性の特定に関する公式声明の数が減少したことを指摘しました。彼らは通常、よく知られたバグを使用することを好みます。
NSAの推奨事項
多くの従業員がリモートで作業している場合、従来のネットワーク監視ツールを使用して疑わしい動作を特定するのは難しい場合があります。ただし、NSAによると、VMwareのバグなどの脆弱性は、従業員の認証と区別がつかない暗号化されたWebベースの接続で悪意のあるアクティビティが発生するため、固有の問題を引き起こすとのことです。 NSAは、組織の管理者が疑わしいアクティビティを示している可能性のある終了ステートメントについてネットワークログを確認することを推奨しています。
「認証ログを定期的に監視して、異常なログイン、特に成功したログインがないか確認してください。確立された信頼を使用しているが、異常な住所から来ているか、異常な特性を含んでいるものに注意を払う価値がある」と同省は声明で述べた。
NSAは、親ロシアのハッカーによる脆弱性の悪用についての観察については詳しく述べていません。しかし、米国のメディアの報道によると、ロシアのハッカーは2020年に米国のITインフラストラクチャを積極的に攻撃しました。特に、彼らは政府、エネルギーおよび他の重要な構造の間の目標に興味を持っていました。また、大統領選挙ではハッカーが活躍したとのことです。
ブログ ITGLOBAL.COM-マネージドIT、プライベートクラウド、IaaS、ビジネス向けの情報セキュリティサービス: