דיווח: ההאקרים הרוסים ניצלו פגיעות ב-VMware למתקפת הענק

פגיעות במערכות של VMware היא שאפשרה גישה לנתונים מוגנים תוך ניצול לרעה של אימות מאוחד, ושימשה את ההאקרים הרוסים לפגוע בתוכנה של סולארווינדס כדי לתקוף מטרות בעלות ערך גבוה – כך דיווח בסוף השבוע אתר חדשות הסייבר KrebsOnSecurity.

האתר נמצא בבעלות בריאן קרבס, עיתונאי ותחקירן שעבד במשך יותר מעשור בוושינגטון פוסט, שהיה ידוע בעיקר בשל הכיסוי שלו את תחום פשעי הסייבר למטרות רווח. העניין שלו בתחום הלך וגבר לאחר שנוזקה נעלה את המחשב שלו ב-2001. ב-2009 עזב קרבס את העיתון והשיק את KrebsOnSecurity.com.

הדיווח באתר מגיע לאחר שב-7 בדצמבר, ה-NSA התריעה שפגם בתוכנה של VMware שימש האקרים רוסים כדי להתחזות למשתמשים לגיטימיים ברשתות פרוצות. על מנת לנצל את הפגיעות הזו, אמרו בסוכנות, התוקפים יצטרכו להימצא ברשת הפנימית של הקורבן – מה שלפי האתר הנחשב קרה בפריצה לסולארווינדס. בהתראה של הסוכנות מתחילת החודש נאמר כי "ניצול של מוצרי VMware Access ו-VMware Identity Manager הוביל להתקנת מעטפת ווב ובעקבותיה, לפעילות זדונית שבה נוצרו אישורי גישה בצורה של אימות זיהוי SAML. אלה נשלחו לשירותי Active Directory Federation של מיקרוסופט, שבתורם העניקו לשחקני האיום גישה לנתונים מוגנים".

VMware מסרה בתגובה כי לא קיבלה כל הודעה או אינדיקציה שלפיה "הפגיעות הזו הייתה מעורבת בפריצה לשרשרת האספקה של סולארווינדס". ב-3 בדצמבר, לאחר שקיבלה התראה בנושא הפגם שלה מה- NSA, שחררה החברה עדכון תוכנה להטלאה.

בעיתונות הטכנולוגית בארצות הברית נכתב כי בעוד שחלק מהרשתות של VMware השתמשו בגרסאות פגיעות של אוריון, פלטפורמת ניטור הרשת של סולארווינדס. לעומת זאת, לפי ענקית הווירטואליזציה, "עד כה, על אף שזיהינו מקרים מוגבלים של הפגיעות באוריון בסביבתנו, החקירה הפנימית שלנו לא גילתה כל אינדיקציה לניצול שלה. דבר זה אושר על ידי החקירה של סולארווינדס עצמה".

האם באמת רק שלוש חברות פרטיות נפגעו?

ההתראה של ה-NSA הגיעה פחות מ-24 שעות לפני שפייראיי חשפה כי חוותה פריצה שנועדה להשיג מידע על חלק מלקוחותיה הממשלתיים. סולארווינדס מסרה כי המנכ"ל שלה, קווין תומפסון, עודכן על ידי בכיר בפייראיי על הדלת האחורית שנתגלתה בתוכנת אוריון, "ועד מהרה הוא גילה שהחברה הייתה קורבן של מתקפת סייבר, שהשפיעה על כלי אוריון, כמו גם על מערכותיה הפנימיות".

נכון לסוף השבוע, הארגונים היחידים מהמגזר הפרטי שדווח ככאלה שנפגעו באמצעות תוכנת אוריון הם פייראיי, מיקרוסופט וסיסקו – אף שנראה שהנתון בפועל גבוה בהרבה.

בהתראה נוספת, שאותה הוציאה ה-NSA בסוף השבוע האחרון, נכתב כי "ניתן להשתמש ב-Microsoft ADFS לפדרציה של זהויות עם VMware Identity Manager. על ידי שימוש לרעה באימות המאוחד, ההאקרים עלולים לנצל לרעה את האמון שנוצר בין הרכיבים המשולבים". לדברי הסוכנות, "היריבים מכוונים למוצרים כמו VMware Identity Manager כדי לקבל גישה לשירותי ענן כגון Microsoft Office 365. לאחר שהשיגו את הגישה האמורה, ההאקרים עלולים לנטר או לסנן מיילים ומסמכים המאוחסנים בסביבות Microsoft Office 365".