Američka agencija za kibernetičku sigurnost i infrastrukturu (CISA) i kibernetička komanda obalske straže SAD (CGCYBER) objavile su putem savjetodavca za kibernetičku sigurnost (CSA) da Log4Shell ranjivosti (CVE-2021-44228) Hakeri ih i dalje iskorištavaju.
Od hakerskih grupa koje su otkrivene koji još uvijek iskorištavaju ranjivost ovaj "APT" i to je otkriveno napadaju servere VMware Horizon i Unified Access Gateway (UAG) da dobije početni pristup organizacijama koje nisu primijenile dostupne zakrpe.
CSA pruža informacije, uključujući taktike, tehnike i procedure i pokazatelje kompromisa, izvedene iz dva povezana angažmana u odgovoru na incidente i analize zlonamjernog softvera uzoraka otkrivenih na mrežama žrtava.
Za one koji ne znajue Log4Shell, trebali biste znati da je ovo ranjivost koji se prvi put pojavio u decembru i aktivno je ciljao na ranjivosti pronađeno u Apache Log4j, koji je okarakterisan kao popularan okvir za organizovanje registra u Java aplikacijama, koji dozvoljava izvršavanje proizvoljnog koda kada se posebno formatirana vrednost upisuje u registar u formatu "{jndi: URL}".
Ranjivost Značajno je jer se napad može izvesti u Java aplikacijama kojeOni bilježe vrijednosti dobivene iz vanjskih izvora, na primjer prikazivanjem problematičnih vrijednosti u porukama o grešci.
Primjećuje se da gotovo svi projekti koji koriste okvire poput Apache Struts, Apache Solr, Apache Druid ili Apache Flink su pogođeni, uključujući Steam, Apple iCloud, Minecraft klijente i servere.
Potpuno upozorenje opisuje nekoliko nedavnih slučajeva u kojima su hakeri uspješno iskoristili ranjivost da bi dobili pristup. U najmanje jednom potvrđenom kompromisu, akteri su prikupili i izvukli osjetljive informacije iz mreže žrtve.
Lov na prijetnje koje je provela Cyber komanda obalne straže SAD-a pokazuje da su akteri prijetnji iskoristili Log4Shell kako bi dobili početni pristup mreži neotkrivene žrtve. Prebacili su malver fajl „hmsvc.exe.“, koji oponaša Microsoft Windows bezbednosni uslužni program SysInternals LogonSessions.
Izvršni program ugrađen u zlonamjerni softver sadrži različite mogućnosti, uključujući evidentiranje pritiska na tipku i primenu dodatnih korisnih podataka, i pruža grafičko korisničko sučelje za pristup Windows desktop sistemu žrtve. Može funkcionirati kao proxy za tuneliranje za naredbu i kontrolu, omogućavajući udaljenom operateru da se kreće dalje u mrežu, kažu agencije.
Analiza je takođe otkrila da je hmsvc.exese radio kao lokalni sistemski nalog sa najvišim mogućim nivoom privilegija, ali nije objašnjeno kako su napadači podigli svoje privilegije do te tačke.
CISA i obalna straža preporučuju da sve organizacije instalirajte ažurirane verzije kako biste osigurali da VMware Horizon i UAG sistemi pogođeni ljudi pokreću najnoviju verziju.
U upozorenju se dodaje da organizacije uvijek treba da ažuriraju softver i daju prioritet zakrpanju poznatih iskorištenih ranjivosti. Površine napada na Internetu treba da se minimiziraju hostovanjem osnovnih usluga u segmentiranoj demilitarizovanoj zoni.
"Na osnovu broja Horizon servera u našem skupu podataka koji nisu zakrpljeni (samo 18% je zakrpljeno od prošlog petka uveče), postoji veliki rizik da će to ozbiljno uticati na stotine, ako ne i hiljade preduzeća." . "Ovaj vikend također označava prvi put da smo vidjeli dokaze o široko rasprostranjenoj eskalaciji, od dobivanja početnog pristupa do početka preduzimanja neprijateljskih radnji na Horizonovim serverima",
Na taj način se osigurava stroga kontrola pristupa perimetru mreže i ne hosting usluga koje se nalaze na Internetu koje nisu bitne za poslovanje.
CISA i CGCYBER podstiču korisnike i administratore da ažuriraju sve pogođene VMware Horizon i UAG sisteme na najnovije verzije. Ako ažuriranja ili zaobilazna rješenja nisu primijenjena odmah nakon izdavanja VMware ažuriranja za Log4Shell, tretirajte sve pogođene VMware sisteme kao ugrožene. Pogledajte CSA Malicious Cyber Akteri nastavljaju da iskorištavaju Log4Shell na VMware Horizon Systems za više informacija i dodatne preporuke.
Konačno ako ste zainteresirani da saznate više o tome, možete provjeriti detalje Na sledećem linku.