Das gaben die US-amerikanische Cybersecurity and Infrastructure Agency (CISA) und das US Coast Guard Cyber Command (CGCYBER) in einem Cyber Security Advisory (CSA) bekannt Log4Shell-Schwachstellen (CVE-2021-44228) werden immer noch von Hackern ausgenutzt.
Von den Hackergruppen, die entdeckt wurden die die Schwachstelle immer noch ausnutzen dieses "APT" und das wurde festgestellt haben VMware Horizon-Server und Unified Access Gateway angegriffen (UAG), um ersten Zugriff auf Organisationen zu erhalten, die verfügbare Patches nicht angewendet haben.
Die CSA stellt Informationen bereit, darunter Taktiken, Techniken und Verfahren sowie Indikatoren für eine Kompromittierung, die aus zwei verwandten Maßnahmen zur Reaktion auf Vorfälle und der Malware-Analyse von in Opfernetzwerken entdeckten Proben stammen.
Für diejenigen, die es nicht wissene Log4Shell, sollten Sie wissen, dass dies eine Schwachstelle ist die erstmals im Dezember auftauchten und aktiv auf Schwachstellen abzielten gefunden in Apache Log4j, das als beliebtes Framework zum Organisieren der Registrierung in Java-Anwendungen gilt und die Ausführung willkürlichen Codes ermöglicht, wenn ein speziell formatierter Wert im Format „{jndi: URL}“ in die Registrierung geschrieben wird.
Verletzlichkeit Dies ist bemerkenswert, da der Angriff auf Java-Anwendungen ausgeführt werden kannSie erfassen aus externen Quellen gewonnene Werte, indem sie beispielsweise problematische Werte in Fehlermeldungen anzeigen.
Es wird beobachtet, dass Betroffen sind fast alle Projekte, die Frameworks wie Apache Struts, Apache Solr, Apache Druid oder Apache Flink nutzen, einschließlich Steam, Apple iCloud, Minecraft-Clients und -Server.
Die vollständige Warnung beschreibt mehrere aktuelle Fälle, in denen Hacker die Sicherheitslücke erfolgreich ausgenutzt haben, um sich Zugriff zu verschaffen. Bei mindestens einer bestätigten Kompromittierung haben die Akteure sensible Informationen aus dem Netzwerk des Opfers gesammelt und extrahiert.
Die Bedrohungssuche durch das Cyber-Kommando der US-Küstenwache zeigt, dass Bedrohungsakteure Log4Shell ausnutzten, um sich ersten Netzwerkzugriff von einem unbekannten Opfer zu verschaffen. Sie haben eine Malware-Datei „hmsvc.exe“ hochgeladen, die sich als das Microsoft Windows-Sicherheitsdienstprogramm SysInternals LogonSessions ausgibt.
Eine in die Malware eingebettete ausführbare Datei enthält verschiedene Funktionen, darunter die Protokollierung von Tastenanschlägen und die Implementierung zusätzlicher Payloads, und bietet eine grafische Benutzeroberfläche für den Zugriff auf das Windows-Desktopsystem des Opfers. Es kann als Command-and-Control-Tunneling-Proxy fungieren, der es einem Remote-Operator ermöglicht, weiter in ein Netzwerk einzudringen, sagen die Behörden.
Die Analyse ergab auch, dass hmsvc.exe als lokales Systemkonto mit der höchstmöglichen Berechtigungsstufe ausgeführt wurde, erklärt jedoch nicht, wie die Angreifer ihre Berechtigungen bis zu diesem Punkt erhöhten.
CISA und die Küstenwache empfehlen dass alle Organisationen Installieren Sie aktualisierte Builds, um sicherzustellen, dass VMware Horizon- und UAG-Systeme Betroffene führen die neuste Version aus.
Die Warnung fügte hinzu, dass Unternehmen ihre Software immer auf dem neuesten Stand halten und dem Patchen bekannter ausgenutzter Schwachstellen Priorität einräumen sollten. Angriffsflächen im Internet sollten minimiert werden, indem wesentliche Dienste in einer segmentierten DMZ gehostet werden.
„Basierend auf der Anzahl der Horizon-Server in unserem Datensatz, die nicht gepatcht sind (nur 18 % waren bis letzten Freitagabend gepatcht), besteht ein hohes Risiko, dass dies Hunderte, wenn nicht Tausende von Unternehmen ernsthaft beeinträchtigen wird. . Dieses Wochenende ist auch das erste Mal, dass wir Beweise für eine weit verbreitete Eskalation sehen, die vom ersten Zugriff bis zum Beginn feindseliger Maßnahmen gegen Horizon-Server reicht."
Dadurch wird eine strenge Zugriffskontrolle auf den Netzwerkumfang sichergestellt und das Hosten von Internetdiensten, die für den Geschäftsbetrieb nicht unbedingt erforderlich sind, wird verhindert.
CISA und CGCYBER ermutigen Benutzer und Administratoren, alle betroffenen VMware Horizon- und UAG-Systeme auf die neuesten Versionen zu aktualisieren. Wenn die Updates oder Problemumgehungen nicht sofort nach der Veröffentlichung von VMware-Updates für Log4Shell angewendet wurden, behandeln Sie alle betroffenen VMware-Systeme als gefährdet. Weitere Informationen und zusätzliche Empfehlungen finden Sie unter CSA Malicious Cyber Actors Continue to Exploit Log4Shell on VMware Horizon Systems.
Schließlich wenn Sie mehr darüber wissen möchtenkönnen Sie die Details überprüfen im folgenden link.