VMware今天宣布确认系统遭到SolarWinds供应链APT攻击,但VMware表示黑客虽然部署了Sunburst(日爆)后门,但是并未进一步利用其访问权限。
VMware在公司声明中说:“虽然我们在内部环境中发现了易受攻击的SolarWinds Orion软件的有限实例,但我们的内部调查并未显示出有被利用的迹象。”
VMware还对某些媒体的报道提出异议,这些报道称,除了SolarWinds Orion平台之外,NSA报道的多个VMware产品中的零日漏洞(CVE 2020-4006)也在SlarWinds供应链攻击中被用作额外的攻击媒介。
VMware在声明中强调:迄今为止,VMware尚未收到有关将CVE 2020-4006被用于SolarWinds供应链攻击的通知。
据悉,VMware11月初就被公开披露CVE 2020-4006漏洞,十二月初才发布补丁程序。
国家安全局(NSA)在缓解安全漏洞三天后发布了一份公告,称俄罗斯国家黑客一直在利用VMware的这个漏洞来访问受影响系统上受保护的数据。
这些报告基于美国网络安全和基础设施安全局(CISA)发出的警报,该警报说,针对美国政府机构正在进行的黑客活动背后的APT小组使用了多个初始访问媒介。
CISA声称:“CISA已经找到有黑客采用SolarWinds之外的其他初始访问攻击矢量的证据,但是,这些都还在调查中。黑客并未对所有被植入SolarWinds Orion后门的组织采取后续行动或发动攻击。”
最后,VMware强烈建议其客户尽快实施安全缓解措施:鼓励所有客户应用适用于其特定环境的最新产品更新,安全补丁和缓解措施。VMware强烈建议所有客户访问VMSA-2020-0027,作为CVE 2020-4006的集中信息源。客户还应该在我们的“安全公告”邮件列表中注册,以接收新的和更新的VMware安全公告。