美国国家安全局(National Security Agency)表示，俄罗斯黑客正在攻击多个VMware系统，使他们得以安装恶意软件，获得对敏感数据的未经授权访问，并持续持有广泛使用的远程工作平台。

该机构周一报告称，这些正在进行的攻击利用的是一个安全漏洞，该漏洞直到上周四才被修复。CVE-2020-4006是一个命令注入漏洞，这意味着它允许攻击者在运行该软件的操作系统上执行他们所选择的命令。这些漏洞是由于代码未能过滤不安全的用户输入，如HTTP头或cookie。VMware在得到美国国家安全局的情报后修补了CVE-2020-4006。

黑客的圣杯

来自俄罗斯政府支持的一个组织的攻击者正在利用这一漏洞，初步进入脆弱的系统。然后他们上传一个Web shell，沐鸣开户测速该shell为运行服务器命令提供一个持久的接口。通过使用命令界面，黑客最终能够访问active directory，这是微软Windows服务器操作系统的一部分，黑客将其视为“圣杯”，因为它允许他们创建帐户、更改密码和执行其他高度特权的任务。

通过命令注入“剥削导致安装web壳和后续的恶意行为,凭证SAML验证断言的形式生成和发送到Microsoft Active Directory联合服务,进而获得演员访问受保护的数据,”美国国家安全局官员在周一的网络安全顾问写道。

对于利用VMware漏洞的攻击者，他们首先必须获得基于身份验证的密码访问设备的管理界面。该接口默认在Internet端口8443上运行。安装软件时必须手动设置密码，这一要求表明管理员要么选择了弱密码，要么密码被其他途径泄露。

VMware在周四发布的一份报告中表示:“恶意行为者可以通过8443端口访问管理配置器，并拥有配置器管理帐户的有效密码，可以在底层操作系统上以不受限制的权限执行命令。”该帐户是受影响产品的内部帐户，在部署时设置了密码。恶意参与者必须拥有此密码才能试图利用CVE-2020-4006。”

在这些主动攻击发生之际，许多组织已启动在家工作程序，以应对COVID-19大流行。由于许多员工远程访问存储在企业和政府网络上的敏感信息，VMware的软件在保护连接安全方面发挥了关键作用。

命令注入缺陷影响以下五种VMware平台:

VMware访问3 20.01和20.10在Linux上

VMware vIDM 5在Linux上的3.3.1,3.3.2和3.3.3

VMware vIDM连接器3.3.1,3.3.2,3.3.3,19.03

VMware Cloud Foundation

VMware vRealize Suite Lifecycle Manager 7 .x

运行这些产品的人应该尽快安装VMware补丁。他们还应该检查用来保护VMware产品的密码，以确保它是强大的。NSA和VMware在上面的链接中有关于保护系统安全的额外建议。

美国国家安全局周一的报告没有指明是哪个黑客组织发动了这些攻击，只是说该组织由“俄罗斯政府支持的恶意网络行为者”组成。去年10月，美国联邦调查局(FBI)和网络安全与基础设施安全局(Cybersecurity and Infrastructure Security Agency)警告称，俄罗斯政府的黑客正在瞄准被称为Zerologon的关键Windows漏洞。这个俄罗斯黑客组织有很多名字，沐鸣开户测速包括Berserk Bear, Energetic Bear, TeamSpy, Dragonfly, Havex, Crouching Yeti和Koala。