Η Υπηρεσία Κυβερνοασφάλειας και Υποδομής των ΗΠΑ (CISA) και η Διοίκηση Κυβερνοφυλάκων των ΗΠΑ (CGCYBER) ανακοίνωσαν μέσω συμβουλών για την ασφάλεια στον κυβερνοχώρο (CSA) ότι Ευπάθειες Log4Shell (CVE-2021-44228) εξακολουθούν να αποτελούν αντικείμενο εκμετάλλευσης από χάκερ.
Από τις ομάδες χάκερ που έχουν εντοπιστεί που εξακολουθούν να εκμεταλλεύονται την ευπάθεια αυτό το "APT" και έχει διαπιστωθεί ότι έχουν επιτεθεί σε διακομιστές VMware Horizon και Unified Access Gateway (UAG) για να αποκτήσετε αρχική πρόσβαση σε οργανισμούς που δεν έχουν εφαρμόσει διαθέσιμες ενημερώσεις κώδικα.
Η CSA παρέχει πληροφορίες, συμπεριλαμβανομένων τακτικών, τεχνικών και διαδικασιών και δεικτών συμβιβασμού, που προέρχονται από δύο σχετικές δεσμεύσεις απόκρισης περιστατικών και ανάλυση κακόβουλου λογισμικού δειγμάτων που ανακαλύφθηκαν σε δίκτυα θυμάτων.
Για όσους δεν ξέρουνe Log4Shell, θα πρέπει να γνωρίζετε ότι πρόκειται για μια ευπάθεια που εμφανίστηκε για πρώτη φορά τον Δεκέμβριο και στόχευε ενεργά τα τρωτά σημεία βρέθηκε στο Apache Log4j, το οποίο χαρακτηρίζεται ως ένα δημοφιλές πλαίσιο για την οργάνωση της καταγραφής σε εφαρμογές Java, που επιτρέπει την εκτέλεση αυθαίρετου κώδικα όταν μια ειδικά διαμορφωμένη τιμή γράφεται στο μητρώο με τη μορφή "{jndi: URL}".
Τρωτό Είναι αξιοσημείωτο γιατί η επίθεση μπορεί να πραγματοποιηθεί σε εφαρμογές Java πουΚαταγράφουν τιμές που λαμβάνονται από εξωτερικές πηγές, για παράδειγμα εμφανίζοντας προβληματικές τιμές σε μηνύματα σφάλματος.
Παρατηρείται ότι επηρεάζονται σχεδόν όλα τα έργα που χρησιμοποιούν πλαίσια όπως το Apache Struts, το Apache Solr, το Apache Druid ή το Apache Flink, συμπεριλαμβανομένων των πελατών και διακομιστών Steam, Apple iCloud, Minecraft.
Η πλήρης ειδοποίηση περιγράφει πολλές πρόσφατες περιπτώσεις όπου χάκερ έχουν εκμεταλλευτεί επιτυχώς την ευπάθεια για να αποκτήσουν πρόσβαση. Σε τουλάχιστον έναν επιβεβαιωμένο συμβιβασμό, οι ηθοποιοί συνέλεξαν και άντλησαν ευαίσθητες πληροφορίες από το δίκτυο του θύματος.
Η αναζήτηση απειλών που διεξήχθη από την Διοίκηση Κυβερνοφύλακα της Ακτοφυλακής των ΗΠΑ δείχνει ότι οι παράγοντες απειλών εκμεταλλεύτηκαν το Log4Shell για να αποκτήσουν αρχική πρόσβαση στο δίκτυο από ένα άγνωστο θύμα. Ανέβασαν ένα αρχείο κακόβουλου λογισμικού "hmsvc.exe", το οποίο μεταμφιέζεται ως το βοηθητικό πρόγραμμα ασφαλείας Microsoft Windows SysInternals LogonSessions.
Ένα εκτελέσιμο ενσωματωμένο στο κακόβουλο λογισμικό περιέχει διάφορες δυνατότητες, όπως καταγραφή πληκτρολόγησης και υλοποίηση πρόσθετων ωφέλιμων φορτίων, και παρέχει μια γραφική διεπαφή χρήστη για πρόσβαση στο επιτραπέζιο σύστημα Windows του θύματος. Μπορεί να λειτουργήσει ως διακομιστής μεσολάβησης σήραγγας εντολών και ελέγχου, επιτρέποντας σε έναν απομακρυσμένο χειριστή να φτάσει περαιτέρω σε ένα δίκτυο, λένε οι υπηρεσίες.
Η ανάλυση διαπίστωσε επίσης ότι το hmsvc.exe εκτελούσε ως λογαριασμός τοπικού συστήματος με το υψηλότερο δυνατό επίπεδο προνομίων, αλλά δεν εξήγησε πώς οι εισβολείς αύξησαν τα προνόμιά τους σε αυτό το σημείο.
Η CISA και το Λιμενικό Σώμα συνιστούν ότι όλοι οι οργανισμοί εγκαταστήστε ενημερωμένες εκδόσεις για να διασφαλίσετε ότι τα συστήματα VMware Horizon και UAG επηρεαστεί, εκτελέστε την πιο πρόσφατη έκδοση.
Η ειδοποίηση προσέθεσε ότι οι οργανισμοί θα πρέπει να διατηρούν πάντα ενημερωμένο το λογισμικό και να δίνουν προτεραιότητα στην επιδιόρθωση γνωστών εκμεταλλευόμενων τρωτών σημείων. Οι επιφάνειες επιθέσεων που αντιμετωπίζουν το Διαδίκτυο θα πρέπει να ελαχιστοποιηθούν με τη φιλοξενία βασικών υπηρεσιών σε μια τμηματοποιημένη αποστρατιωτικοποιημένη ζώνη.
«Με βάση τον αριθμό των διακομιστών Horizon στο σύνολο δεδομένων μας που δεν έχουν επιδιορθωθεί (μόνο το 18% διορθώθηκε από την περασμένη Παρασκευή το βράδυ), υπάρχει μεγάλος κίνδυνος αυτό να επηρεάσει σοβαρά εκατοντάδες, αν όχι χιλιάδες, επιχειρήσεις. . Αυτό το Σαββατοκύριακο σηματοδοτεί επίσης την πρώτη φορά που είδαμε ενδείξεις εκτεταμένης κλιμάκωσης, από την απόκτηση αρχικής πρόσβασης έως την έναρξη εχθρικής δράσης στους διακομιστές Horizon."
Με αυτόν τον τρόπο διασφαλίζονται αυστηροί έλεγχοι πρόσβασης στην περίμετρο του δικτύου και δεν φιλοξενούνται υπηρεσίες που έχουν πρόσβαση στο Διαδίκτυο που δεν είναι απαραίτητες για τις επιχειρηματικές δραστηριότητες.
Η CISA και η CGCYBER ενθαρρύνουν τους χρήστες και τους διαχειριστές να ενημερώσουν όλα τα επηρεαζόμενα συστήματα VMware Horizon και UAG στις πιο πρόσφατες εκδόσεις. Εάν οι ενημερώσεις ή οι λύσεις αντιμετώπισης δεν εφαρμόστηκαν αμέσως μετά την κυκλοφορία των ενημερώσεων VMware για το Log4Shell, αντιμετωπίστε όλα τα επηρεαζόμενα συστήματα VMware ως παραβιασμένα. Δείτε CSA Malicious Cyber Actors Continue to Exploit Log4Shell στο VMware Horizon Systems για περισσότερες πληροφορίες και πρόσθετες συστάσεις.
Τελικά αν ενδιαφέρεστε να μάθετε περισσότερα γι 'αυτό, μπορείτε να ελέγξετε τις λεπτομέρειες Στον ακόλουθο σύνδεσμο.