USA küberjulgeoleku ja infrastruktuuri agentuur (CISA) ja USA rannavalve küberjuhatus (CGCYBER) teatasid küberturvalisuse nõuande (CSA) kaudu, et Log4Shelli haavatavused (CVE-2021-44228) häkkerid kasutavad neid endiselt ära.
Avastatud häkkerirühmadest kes ikka veel haavatavust ära kasutavad see "APT" ja see on leitud on rünnanud VMware Horizon servereid ja Unified Access Gateway (UAG), et saada esialgne juurdepääs organisatsioonidele, kes pole olemasolevaid plaastreid rakendanud.
CSA pakub teavet, sealhulgas taktikaid, tehnikaid ja protseduure ning kompromissinäitajaid, mis on saadud kahest seotud intsidentidele reageerimise kohustusest ja ohvrivõrkudest avastatud proovide pahavara analüüsist.
Neile, kes ei teae Log4Shell, peaksite teadma, et see on haavatavus mis ilmusid esmakordselt välja detsembris ja olid aktiivselt suunatud turvaaukude vastu leitud Apache Log4-stj, mida iseloomustatakse kui populaarset raamistikku Java rakendustes logimise korraldamiseks, mis võimaldab käivitada suvalise koodi, kui registrisse kirjutatakse spetsiaalselt vormindatud väärtus vormingus "{jndi: URL}".
Haavatavus See on tähelepanuväärne, kuna rünnakut saab läbi viia Java-rakendustes, misNad salvestavad välistest allikatest saadud väärtused, näiteks kuvades probleemseid väärtusi veateadetes.
Täheldatakse, et mõjutatud on peaaegu kõik projektid, mis kasutavad selliseid raamistikke nagu Apache Struts, Apache Solr, Apache Druid või Apache Flink, sealhulgas Steam, Apple iCloud, Minecrafti kliendid ja serverid.
Täielik hoiatus kirjeldab mitut hiljutist juhtumit, kus häkkerid on turvaauku juurdepääsu saamiseks edukalt ära kasutanud. Vähemalt ühes kinnitatud kompromissis kogusid näitlejad ohvri võrgust tundlikku teavet ja ekstraheerisid selle.
USA rannavalve küberväejuhatuse läbiviidud ohuotsing näitab, et ohus osalejad kasutasid Log4Shelli, et saada avalikustamata ohvrilt esmane juurdepääs võrgule. Nad laadisid üles pahavarafaili „hmsvc.exe”, mis maskeeritakse kui Microsoft Windows SysInternals LogonSessionsi turvautiliit.
Pahavara sisseehitatud käivitatav fail sisaldab mitmesuguseid võimalusi, sealhulgas klahvivajutuste logimist ja täiendavate kasulike koormuste rakendamist, ning pakub graafilist kasutajaliidest juurdepääsuks ohvri Windowsi töölauasüsteemile. Agentuurid väidavad, et see võib toimida käsu- ja kontrolli tunneldamise puhverserverina, võimaldades kaugoperaatoril jõuda võrku kaugemale.
Analüüsi käigus leiti ka, et hmsvc.exe töötas kohaliku süsteemikontona kõrgeima võimaliku privileegtasemega, kuid ei selgitanud, kuidas ründajad oma õigusi selle tasemeni tõstsid.
CISA ja rannavalve soovitavad et kõik organisatsioonid installige värskendatud järgud, et tagada VMware Horizon ja UAG süsteemid mõjutatud käivitage uusim versioon.
Hoiatuses lisati, et organisatsioonid peaksid tarkvara alati ajakohasena hoidma ja eelistama teadaolevate ärakasutatud turvaaukude lappimist. Internetti suunatud ründepindu tuleks minimeerida, majutades olulisi teenuseid segmenteeritud demilitariseeritud tsoonis.
"Võttes arvesse meie andmekogus olevate paigatamata Horizoni serverite arvu (möödunud reede õhtu seisuga oli paigatud vaid 18%), on suur oht, et see mõjutab tõsiselt sadu, kui mitte tuhandeid ettevõtteid. See nädalavahetus tähistab ka esimest korda, kui näeme tõendeid laialdase eskaleerumise kohta, alates esialgsest juurdepääsust kuni Horizoni serverites vaenulike meetmete võtmiseni.
See tagab range juurdepääsu kontrolli võrgu perimeetrile ega majuta Internetti suunatud teenuseid, mis pole äritegevuseks olulised.
CISA ja CGCYBER julgustavad kasutajaid ja administraatoreid värskendama kõiki mõjutatud VMware Horizon ja UAG süsteeme uusimatele versioonidele. Kui värskendusi või lahendusi ei rakendatud kohe pärast Log4Shelli VMware värskenduste väljaandmist, käsitlege kõiki mõjutatud VMware süsteeme ohustatuna. Lisateavet ja täiendavaid soovitusi leiate teemast CSA pahatahtlikud kübernäitlejad jätkavad VMware Horizon Systemsis Log4Shelli kasutamist.
Lõpuks kui olete huvitatud sellest rohkem teada saama, saate üksikasju vaadata Järgmisel lingil.