NSA Memperingatkan Bahwa Rusia Menyerang Platform Kerja Jarak Jauh

NSA Memperingatkan Bahwa Rusia Menyerang Platform Kerja Jarak Jauh

[ad_1]

Sepanjang tahun 2020, sebuah porsi yang belum pernah terjadi sebelumnya dari pekerja kantoran dunia telah dipaksa untuk bekerja dari rumah sebagai akibat dari pandemi Covid-19. Pembubaran itu telah menciptakan peluang yang tak terhitung jumlahnya bagi peretas, yang memanfaatkan sepenuhnya. Dalam peringatan hari ini, Badan Keamanan Nasional mengatakan bahwa kelompok yang disponsori negara Rusia telah secara aktif menyerang kerentanan di beberapa platform kerja jarak jauh perusahaan yang dikembangkan oleh VMware. Perusahaan mengeluarkan buletin keamanan pada hari Kamis yang merinci tambalan dan solusi untuk mengurangi cacat, yang digunakan oleh aktor pemerintah Rusia untuk mendapatkan akses istimewa ke data target.

Institusi telah berebut untuk beradaptasi dengan pekerjaan jarak jauh, menawarkan karyawan akses jarak jauh yang aman ke sistem perusahaan. Namun perubahan tersebut memiliki risiko yang berbeda dan telah menciptakan eksposur baru dibandingkan jaringan kantor tradisional. Cacat pada alat seperti VPN telah menjadi target yang sangat populer, karena mereka dapat memberi penyerang akses ke jaringan internal perusahaan. Sekelompok kerentanan yang memengaruhi VPN Pulse Secure, misalnya, ditambal pada April 2019, tetapi badan intelijen dan pertahanan Amerika Serikat seperti Badan Keamanan Siber dan Infrastruktur mengeluarkan peringatan pada Oktober 2019, dan sekali lagi pada Januari, dan April, bahwa peretas masih menyerang organisasi — termasuk lembaga pemerintah — yang belum menerapkan tambalan.

Pada hari Kamis, CISA mengeluarkan nasihat singkat yang mendorong administrator untuk menambal kerentanan VMware. “Seorang penyerang dapat memanfaatkan kerentanan ini untuk mengendalikan sistem yang terpengaruh,” kata badan itu.

Selain memperingatkan masyarakat umum tentang bug VMware, NSA berulang kali menekankan bahwa ia “mendorong administrator jaringan Sistem Keamanan Nasional (NSS), Departemen Pertahanan (DOD), dan Pangkalan Industri Pertahanan (DIB) untuk memprioritaskan mitigasi kerentanan pada server yang terpengaruh. “

“Itu salah satu hal di mana pembawa pesan terkenal dan juga pesannya,” kata Ben Read, manajer senior analisis spionase dunia maya di firma intelijen ancaman FireEye. “Ini adalah kerentanan eksekusi kode jarak jauh, sesuatu yang pasti ingin ditambal oleh orang-orang, tetapi hal ini terjadi. Jadi fakta bahwa NSA ingin membuat kesepakatan besar kemungkinan didasarkan pada fakta bahwa itu digunakan oleh orang-orang Rusia di alam liar dan mungkin melawan target yang dikhawatirkan NSA. ”

Produk VMware yang terpengaruh semuanya terkait dengan infrastruktur cloud dan manajemen identitas, termasuk VMware Workspace One Access, pendahulunya VMware Identity Manager, dan VMware Cloud Foundation. VMware tidak segera mengembalikan permintaan komentar dari WIRED, tetapi perusahaan mencatat dalam penasehatnya bahwa ia menilai tingkat keparahan cacat sebagai “Penting,” satu langkah di bawah “Kritis,” karena penyerang harus memiliki akses ke berbasis web, kata sandi- antarmuka manajemen yang dilindungi sebelum mereka dapat mengeksploitasi kerentanan. NSA menunjukkan bahwa mengamankan antarmuka ini dengan kata sandi yang kuat dan unik, atau mengaturnya agar tidak dapat diakses dari internet publik, adalah langkah yang dapat mengurangi risiko serangan. Untungnya, VMware tidak merancang sistem yang terpengaruh dengan opsi untuk menggunakan kata sandi default yang mudah ditebak oleh penyerang.

Setelah peretas memiliki akses, mereka dapat memanfaatkan kerentanan untuk memanipulasi permintaan otentikasi yang disebut “SAML assertions” (dari Security Assertion Markup Language, standar terbuka) sebagai cara untuk menggali lebih dalam ke dalam jaringan organisasi. Dan mereka dapat menggunakan posisi itu untuk mengakses server lain yang berisi informasi yang berpotensi sensitif.

FireEye’s Read mencatat bahwa meskipun bug pada awalnya memerlukan kata sandi yang sah untuk dieksploitasi, itu bukanlah rintangan yang tidak dapat diatasi, terutama peretas Rusia yang memiliki fasilitas terkenal dengan teknik pencurian kredensial seperti penyemprotan kata sandi. “Saya kira NSA sedang menulis sesuatu karena mereka telah melihatnya berhasil meskipun secara teori bukan kerentanan terburuk di luar sana,” katanya.

Ketika begitu banyak karyawan bekerja dari jarak jauh, mungkin sulit untuk menggunakan alat pemantauan jaringan tradisional untuk menandai perilaku yang berpotensi mencurigakan. Tetapi NSA juga menunjukkan kerentanan seperti bug VMware yang menghadirkan tantangan unik, karena aktivitas berbahaya semua akan terjadi dalam koneksi terenkripsi ke antarmuka web yang tidak dapat dibedakan dari login yang sah. NSA merekomendasikan agar organisasi menyisir log server mereka untuk apa yang dikenal sebagai pernyataan “keluar” yang dapat menunjukkan aktivitas mencurigakan.

Diposting oleh : SGP Prize

Releated

Bagaimana Penegakan Hukum Mendapat Enkripsi Ponsel Anda

Bagaimana Penegakan Hukum Mendapat Enkripsi Ponsel Anda

[ad_1] Perbedaan utama antara Perlindungan Lengkap dan AFU terkait dengan seberapa cepat dan mudahnya aplikasi mengakses kunci untuk mendekripsi data. Ketika data dalam status Perlindungan Lengkap, kunci untuk mendekripsinya disimpan jauh di dalam sistem operasi dan dienkripsi sendiri. Tetapi begitu Anda membuka kunci perangkat Anda untuk pertama kali setelah reboot, banyak kunci enkripsi mulai disimpan […]