L'Agència d'Infraestructura i Ciberseguretat dels EUA (CISA) i el Comando Cibernètic de la Guàrdia Costera dels Estats Units (CGCYBER) van donar a conèixer mitjançant un avís de seguretat cibernètica (CSA) vulnerabilitats de Log4Shell (CVE-2021-44228) encara estan sent aprofitades per hackers.
Dels grups de hackers detectats que encara estan aprofitant la vulnerabilitat aquesta «APT» i s'ha detectat que han estat atacant a servidors VMware Horizon i Unified Access Gateway (UAG) per obtenir accés inicial a organitzacions que no van aplicar els pegats disponibles.
El CSA proporciona informació, incloses tàctiques, tècniques i procediments i indicadors de compromís, derivada de dos compromisos de resposta a incidents relacionats i anàlisi de codi maliciós de mostres descobertes a les xarxes de les víctimes.
Per als que desconeixen de Log4Shell, han de saber que aquesta és una vulnerabilitat que va sorgir per primera vegada al desembre i va apuntar activament a les vulnerabilitats trobades a Apache Log4j, el qual es caracteritza per ser un marc popular per organitzar el registre en aplicacions Java, que permet l'execució de codi arbitrari quan s'escriu un valor especialment formatat al registre en el format «{jndi: URL}».
la vulnerabilitat és notable perquè latac es pot dur a terme en aplicacions Java que registren valors obtinguts de fonts externes, per exemple, en mostrar valors problemàtics en missatges derror.
S'observa que gairebé tots els projectes que utilitzen frameworks com Apache Struts, Apache Solr, Apache Druid o Apache Flink es veuen afectats, inclosos Steam, Apple iCloud, clients i servidors de Minecraft.
L'alerta completa detalla diversos casos recents en què els hackers han explotat amb èxit la vulnerabilitat per obtenir-hi accés. En almenys un compromís confirmat, els actors van recopilar i extreure informació confidencial de la xarxa de la víctima.
La cerca d'amenaces realitzada pel Comando Cibernètic de la Guàrdia Costanera dels EUA mostra que els actors d'amenaces van explotar Log4Shell per obtenir accés inicial a la xarxa d'una víctima no revelada. Van carregar un fitxer de codi maliciós «hmsvc.exe.», que es fa passar per la utilitat de seguretat del Microsoft Windows SysInternals LogonSessions.
Un executable incrustat dins del codi maliciós conté diverses capacitats, inclòs el registre de pulsacions de tecles i la implementació de càrregues útils addicionals, i proporciona una interfície gràfica dusuari per accedir al sistema descriptori de Windows de la víctima. Pot funcionar com un proxy de tunelització de comandament i control, cosa que permet a un operador remot avançar més en una xarxa, diuen les agències.
L'anàlisi també va trobar que hmsvc.exe s'executava com un compte de sistema local amb el nivell de privilegis més alt possible, però no explica com els atacants van elevar els seus privilegis fins a aquest punt.
CISA i la Guàrdia Costera recomanen que totes les organitzacions instal·lin compilacions actualitzades per garantir que els sistemes VMware Horizon i UAG afectats executin la darrera versió.
L'alerta va afegir que les organitzacions sempre han de mantenir el programari actualitzat i prioritzar el pegat de les vulnerabilitats explotades conegudes. Les superfícies d'atac orientades a Internet s'han de minimitzar allotjant serveis essencials a una zona desmilitaritzada segmentada.
«Segons la quantitat de servidors Horizon en el nostre conjunt de dades que no estan pegats (només el 18 % estaven pegats fins divendres passat a la nit), hi ha un alt risc que això afecti seriosament centenars, si no milers, d'empreses . Aquest cap de setmana també marca la primera vegada que veiem proves d?una escalada generalitzada, passant d?obtenir accés inicial a començar a prendre accions hostils als servidors d?Horizon»,
Fer-ho garanteix estrictes controls d'accés al perímetre de la xarxa i no hostatjar serveis orientats a Internet que no són essencials per a les operacions comercials.
CISA i CGCYBER encoratgen els usuaris i administradors a actualitzar tots els sistemes VMware Horizon i UAG afectats a les darreres versions. Si les actualitzacions o solucions alternatives no es van aplicar immediatament després del llançament d'actualitzacions de VMware per a Log4Shell , tracti tots els sistemes VMware afectats com a compromesos. Consulteu CSA Malicious Cyber Actors Continua explotant Log4Shell a VMware Horizon Systems per obtenir més informació i recomanacions addicionals.
Finalment si estàs interessat en poder conèixer més a l'respecte, Pots consultar els detalls en el següent enllaç.