US Cyber Security and Infrastructure Agency (CISA) og US Coast Guard Cyber Command (CGCYBER) annoncerede gennem en cybersikkerhedsrådgivning (CSA), at Log4Shell sårbarheder (CVE-2021-44228) bliver stadig udnyttet af hackere.
Af de hackergrupper, der er blevet opdaget som stadig udnytter sårbarheden denne "APT" og det har man fundet ud af har angrebet VMware Horizon-servere og Unified Access Gateway (UAG) for at få indledende adgang til organisationer, der ikke har anvendt tilgængelige patches.
CSA leverer information, herunder taktik, teknikker og procedurer og indikatorer for kompromis, afledt af to relaterede hændelsesreaktions-engagementer og malware-analyse af prøver opdaget på ofrets netværk.
For dem der ikke ved dete Log4Shell, bør du vide, at dette er en sårbarhed som først dukkede op i december og aktivt målrettede sårbarheder fundet i Apache Log4j, som er karakteriseret som en populær ramme til organisering af logning i Java-applikationer, der gør det muligt at udføre vilkårlig kode, når en specielt formateret værdi skrives til registreringsdatabasen i formatet "{jndi: URL}".
Sårbarhed Det er bemærkelsesværdigt, fordi angrebet kan udføres i Java-applikationer, derDe registrerer værdier opnået fra eksterne kilder, for eksempel ved at vise problematiske værdier i fejlmeddelelser.
Det observeres, at næsten alle projekter, der bruger rammer som Apache Struts, Apache Solr, Apache Druid eller Apache Flink, er berørt, inklusive Steam, Apple iCloud, Minecraft klienter og servere.
Den fulde advarsel beskriver flere nylige tilfælde, hvor hackere med succes har udnyttet sårbarheden til at få adgang. I mindst ét bekræftet kompromis indsamlede og udtrak aktørerne følsomme oplysninger fra ofrets netværk.
Trusselssøgning udført af US Coast Guard Cyber Command viser, at trusselsaktører udnyttede Log4Shell til at få indledende netværksadgang fra et ukendt offer. De uploadede en "hmsvc.exe."-malwarefil, der udgiver sig som Microsoft Windows SysInternals LogonSessions sikkerhedsværktøj.
En eksekverbar, der er indlejret i malwaren, indeholder forskellige funktioner, herunder tastetrykslogning og implementering af yderligere nyttelaster, og giver en grafisk brugergrænseflade til at få adgang til ofrets Windows-skrivebordssystem. Det kan fungere som en kommando-og-kontrol tunneling proxy, der giver en fjernoperatør mulighed for at nå længere ind i et netværk, siger agenturerne.
Analysen fandt også, at hmsvc.exe kørte som en lokal systemkonto med det højest mulige privilegieniveau, men forklarede ikke, hvordan angriberne hævede deres privilegier til det punkt.
CISA og kystvagten anbefaler at alle organisationer installere opdaterede builds for at sikre, at VMware Horizon og UAG-systemer berørte køre den seneste version.
Advarslen tilføjede, at organisationer altid bør holde software opdateret og prioritere at patche kendte udnyttede sårbarheder. Internet-vendte angrebsflader bør minimeres ved at hoste væsentlige tjenester i en segmenteret demilitariseret zone.
"Baseret på antallet af Horizon-servere i vores datasæt, der ikke er rettet (kun 18% blev rettet fra sidste fredag aften), er der en høj risiko for, at dette vil alvorligt påvirke hundredvis, hvis ikke tusindvis, af virksomheder. . Denne weekend er også første gang, vi har set tegn på udbredt eskalering, der går fra at få indledende adgang til at begynde at tage fjendtlige handlinger på Horizon-servere."
Dette sikrer streng adgangskontrol til netværkets perimeter og hoster ikke internet-vendte tjenester, der ikke er afgørende for forretningsdrift.
CISA og CGCYBER opfordrer brugere og administratorer til at opdatere alle berørte VMware Horizon- og UAG-systemer til de nyeste versioner. Hvis opdateringerne eller løsningerne ikke blev anvendt umiddelbart efter udgivelsen af VMware-opdateringer til Log4Shell, skal du behandle alle berørte VMware-systemer som kompromitterede. Se CSA Malicious Cyber Actors Continue to Exploit Log4Shell på VMware Horizon Systems for mere information og yderligere anbefalinger.
Endelig hvis du er interesseret i at vide mere om det, kan du kontrollere detaljerne I det følgende link.