Americká agentura pro kybernetickou bezpečnost a infrastrukturu (CISA) a kybernetické velení americké pobřežní stráže (CGCYBER) oznámily prostřednictvím doporučení pro kybernetickou bezpečnost (CSA), že Chyby zabezpečení Log4Shell (CVE-2021-44228) jsou stále využívány hackery.
Ze skupin hackerů, které byly zjištěny kteří tuto zranitelnost stále využívají tento "APT" a bylo zjištěno, že útočí na servery VMware Horizon a Unified Access Gateway (UAG), abyste získali počáteční přístup k organizacím, které neaplikovaly dostupné opravy.
CSA poskytuje informace, včetně taktiky, technik a postupů a indikátorů kompromitace, odvozené ze dvou souvisejících reakcí na incidenty a analýzy malwaru vzorků objevených v sítích obětí.
Pro ty, kteří nevědíe Log4Shell, měli byste vědět, že se jedná o zranitelnost který se poprvé objevil v prosinci a aktivně se zaměřoval na zranitelná místa nalezený v Apache Log4j, který je charakterizován jako oblíbený rámec pro organizaci protokolování v aplikacích Java, umožňující spuštění libovolného kódu, když je do registru zapsána speciálně formátovaná hodnota ve formátu "{jndi: URL}".
Zranitelnost Je to pozoruhodné, protože útok lze provést v aplikacích Java, kteréZaznamenávají hodnoty získané z externích zdrojů, například zobrazováním problematických hodnot v chybových hlášeních.
Je pozorováno, že jsou ovlivněny téměř všechny projekty, které používají frameworky jako Apache Struts, Apache Solr, Apache Druid nebo Apache Flink, včetně klientů a serverů Steam, Apple iCloud, Minecraft.
Úplné upozornění podrobně popisuje několik nedávných případů, kdy hackeři úspěšně zneužili zranitelnost k získání přístupu. Při nejméně jednom potvrzeném kompromisu aktéři shromáždili a extrahovali citlivé informace ze sítě oběti.
Vyhledávání hrozeb, které provedla americká pobřežní stráž Cyber Command, ukazuje, že aktéři hrozeb zneužili Log4Shell k získání počátečního přístupu k síti od nezveřejněné oběti. Nahráli soubor malwaru „hmsvc.exe“, který se vydává za bezpečnostní nástroj Microsoft Windows SysInternals LogonSessions.
Spustitelný soubor zabudovaný do malwaru obsahuje různé funkce, včetně protokolování úhozů a implementace dalších užitečných zatížení, a poskytuje grafické uživatelské rozhraní pro přístup k desktopovému systému Windows oběti. Podle agentur může fungovat jako tunelovací proxy pro příkazy a řízení, což umožňuje vzdálenému operátorovi dostat se dále do sítě.
Analýza také zjistila, že hmsvc.exe byl spuštěn jako místní systémový účet s nejvyšší možnou úrovní oprávnění, ale nevysvětlila, jak útočníci do tohoto bodu svá oprávnění povýšili.
CISA a pobřežní stráž doporučují že všechny organizace nainstalujte aktualizované sestavení, abyste zajistili, že systémy VMware Horizon a UAG spusťte nejnovější verzi.
Upozornění dodalo, že organizace by měly vždy udržovat software aktuální a upřednostňovat opravy známých zneužitých zranitelností. Útočné plochy směřující k internetu by měly být minimalizovány hostováním základních služeb v segmentované demilitarizované zóně.
„Na základě počtu serverů Horizon v naší datové sadě, které nejsou opraveny (pouze 18 % bylo opraveno minulý pátek večer), existuje vysoké riziko, že to vážně ovlivní stovky, ne-li tisíce firem. Tento víkend je také poprvé, co jsme viděli důkazy o rozsáhlé eskalaci, od získání počátečního přístupu až po zahájení nepřátelských akcí na serverech Horizon."
Tím zajistíte přísné kontroly přístupu k perimetru sítě a nebudete hostovat služby směřující k internetu, které nejsou nezbytné pro obchodní operace.
CISA a CGCYBER vyzývají uživatele a administrátory, aby aktualizovali všechny dotčené systémy VMware Horizon a UAG na nejnovější verze. Pokud aktualizace nebo náhradní řešení nebyly použity ihned po vydání aktualizací VMware pro Log4Shell, považujte všechny dotčené systémy VMware za kompromitované. Další informace a doporučení naleznete v článku CSA Malicious Cyber Actors Continue to Exploit Log4Shell on VMware Horizon Systems.
Konečně pokud máte zájem o tom vědět více, můžete zkontrolovat podrobnosti Na následujícím odkazu.