Агенцията за киберсигурност и инфраструктура на САЩ (CISA) и Кибер командването на бреговата охрана на САЩ (CGCYBER) обявиха чрез консултант за киберсигурност (CSA), че Уязвимости на Log4Shell (CVE-2021-44228) все още се експлоатират от хакери.
От разкритите хакерски групи които все още използват уязвимостта това "APT" и е установено, че са атакували сървърите на VMware Horizon и Unified Access Gateway (UAG), за да получите първоначален достъп до организации, които не са приложили наличните корекции.
CSA предоставя информация, включително тактики, техники и процедури и индикатори за компромис, извлечени от две свързани ангажименти за реагиране на инциденти и анализ на злонамерен софтуер на проби, открити в мрежите на жертвите.
За тези, които не знаятe Log4Shell, трябва да знаете, че това е уязвимост който за първи път се появи през декември и активно се насочи към уязвимостите намерен в Apache Log4j, който се характеризира като популярна рамка за организиране на регистриране в Java приложения, позволяваща изпълнение на произволен код, когато специално форматирана стойност се записва в регистъра във формат "{jndi: URL}".
Уязвимост Това е забележително, защото атаката може да се извърши в Java приложения, коитоТе записват стойности, получени от външни източници, например чрез показване на проблемни стойности в съобщения за грешка.
Забелязва се, че почти всички проекти, които използват рамки като Apache Struts, Apache Solr, Apache Druid или Apache Flink са засегнати, включително Steam, Apple iCloud, клиенти и сървъри на Minecraft.
Пълното предупреждение описва няколко скорошни случая, при които хакери са използвали успешно уязвимостта, за да получат достъп. В поне един потвърден компромис, актьорите събраха и извлечеха чувствителна информация от мрежата на жертвата.
Търсенето на заплахи, проведено от кибер командването на бреговата охрана на САЩ, показва, че участниците в заплахите са използвали Log4Shell, за да получат първоначален достъп до мрежата от неразкрита жертва. Те качиха файл „hmsvc.exe.“ със зловреден софтуер, който се маскира като помощната програма за сигурност на Microsoft Windows SysInternals LogonSessions.
Изпълним файл, вграден в злонамерения софтуер, съдържа различни възможности, включително регистриране на натискане на клавиши и внедряване на допълнителни полезни натоварвания и предоставя графичен потребителски интерфейс за достъп до настолната система на Windows на жертвата. Той може да функционира като прокси за тунел за командване и контрол, позволявайки на отдалечен оператор да достигне по-далеч в мрежата, казват агенциите.
Анализът също така установи, че hmsvc.exe работи като локален системен акаунт с възможно най-високо ниво на привилегии, но не обясни как нападателите са повишили привилегиите си до този момент.
CISA и бреговата охрана препоръчват че всички организации инсталирайте актуализирани компилации, за да гарантирате, че VMware Horizon и UAG системите засегнати, стартирайте най-новата версия.
Сигналът добавя, че организациите трябва винаги да поддържат софтуера актуален и да дават приоритет на корекцията на известни експлоатирани уязвимости. Повърхностите за атаки, насочени към интернет, трябва да бъдат сведени до минимум чрез хостване на основни услуги в сегментирана демилитаризирана зона.
„Въз основа на броя на сървърите на Horizon в нашия набор от данни, които не са закърпени (само 18% бяха коригирани към миналия петък вечер), съществува висок риск това да засегне сериозно стотици, ако не и хиляди бизнеси. Този уикенд също бележи първия път, когато виждаме доказателства за широко разпространена ескалация, преминаваща от получаване на първоначален достъп до започване на враждебни действия на сървърите на Horizon."
По този начин се гарантира строг контрол на достъпа до периметъра на мрежата и не се хостват услуги, насочени към Интернет, които не са от съществено значение за бизнес операциите.
CISA и CGCYBER насърчават потребителите и администраторите да актуализират всички засегнати VMware Horizon и UAG системи до най-новите версии. Ако актуализациите или заобиколните решения не са били приложени веднага след пускането на актуализациите на VMware за Log4Shell, третирайте всички засегнати VMware системи като компрометирани. Вижте CSA Злонамерените кибер актьори продължават да експлоатират Log4Shell на VMware Horizon Systems за повече информация и допълнителни препоръки.
Накрая ако се интересувате да научите повече за това, можете да проверите подробностите В следващия линк.