Los desarrolladores de VMware han confirmado que sus sistemas también fueron comprometidos durante el incidente de seguridad en SolarWinds. En su informe, la compañía menciona que los actores de amenazas empelaron su acceso no autorizado para inyectar el backdoor identificado como Sunburst o Solarigate.
“Hemos identificado algunas implementaciones de SolarWinds Orion vulnerables en nuestro propio entorno, aunque no hemos detectado indicios de explotación”, menciona el reporte de los desarrolladores. Sobre los informes publicados en días recientes en los que se mencionaba que se explotó una falla día cero en VMware para acceder a las instalaciones de SolarWinds Orion, VMware considera que estas conclusiones son cuestionables.
Identificada como CVE-2020-4006, esta vulnerabilidad fue revelada públicamente en noviembre y corregida a inicios de diciembre. Al respecto, la Agencia Nacional de Seguridad (NSA) emitió tres alertas de seguridad después de que la falla fuera corregida, mencionando que algunos grupos de hacking vinculados al gobierno ruso la habrían explotado para acceder a información confidencial.
Los informes a los que se referían los desarrolladores de VMware fueron emitidos por la Agencia de Ciberseguridad y Seguridad de Infraestructura de E.U. (CISA), donde se menciona que un grupo de hacking avanzado está detrás de estos ataques: “Contamos con evidencia de acceso adicional además de la plataforma SolarWinds Orion, aunque esto sigue en proceso de investigación”, menciona el reporte de la Agencia.
“No todas las organizaciones que recibieron el backdoor a través de la actualización de SolarWinds fueron atacadas por los actores de amenazas; no hay evidencia de que los exploits CVE-20204006 se usaran como método adicional para comprometer las redes de las organizaciones afectadas”, considera VMware.
Aunque en los incidentes asociados a la cadena de suministro de SolarWinds no se ha detectado la explotación de CVE-2020-4006, los desarrolladores recomiendan encarecidamente instalar las actualizaciones de seguridad para prevenir nuevos intentos de explotación: “Se recomienda a los clientes que visten WMSA-2020-0027 para consultar información adicional sobre este inconveniente”, menciona la alerta de seguridad.
Trabajando como arquitecto de ciberseguridad, el se enfoca en protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad con diferentes empresas. También tiene experiencia en diferentes industrias como finanzas, salud medica y reconocimiento facial.