俄国骇客正积极开采VMware存取及身份管理产品漏洞

11月底VMware存取控管及身份管理组态工具WorkspaceOne传出存在重大风险漏洞，影响多个产品，美国国安局本周警告用户应尽速修补漏洞，因为俄国-资助的骇客现已积极发动攻击。

VMware Workspace One管理组态工具漏洞CVE-2020-4006影响包括Access 20.01/20.10、Access Connector 20.01/20.10、Identity Manager（vIDM）3.3.x，及Identity Manager Connector（vIDM Connector）3.3.x。漏洞出现在上述产品的Linux版，但vIDM Connector的Windows版本3.3.x及19.x也受影响。

攻击者若经由port 8443存取此一管理界面，就可以伪造SAML（security assertion markup language）登入账密，即可在底层操作系统以指令注入安装web shell程式，包括存取受保护的资料机密。CVE-2020-4006漏洞CVSS 3.1风险层级达9.1，属于重大风险。

漏洞公布后，VMware赶忙于上周释出修补程式。

NSA公告指出，已经察觉俄罗斯-支持的骇客组织正在利用窃取而来的登入账密开采这项漏洞。NSA鼓励所有和国安系统、国防部及国防产业网络有关的系统管理员尽速采取防护措施。

NSA提醒，由于开采行动发生在连向Web界面的加密TLS通道，因此网络无法侦测到入侵指标（IoC），但可能在服务器log中可以捕捉到蛛丝马迹。

不过NSA拒绝公开提供“外国恶意网络活动的受害者”资讯，也未说明攻击日期。

但是按照11月底美国网络安全暨基础架构安全署（Cybersecurity and Infrastructure Security Agency，CISA）第一时间对企业发出公告，显示攻击受害单位的产业关键地位。