Hakkerit jatkavat VMware Horizon Systemsin Log4Shell-haavoittuvuuden hyödyntämistä

Yhdysvaltain kyberturvallisuus- ja infrastruktuurivirasto (CISA) ja Yhdysvaltain rannikkovartioston kyberjohto (CGCYBER) ilmoittivat kyberturvallisuusneuvonnan (CSA) kautta, että Log4Shell-haavoittuvuudet (CVE-2021-44228) hakkerit käyttävät edelleen hyväkseen.

Havaituista hakkeriryhmistä jotka edelleen käyttävät hyväkseen haavoittuvuutta tämä "APT" ja se on havaittu ovat hyökänneet VMware Horizon -palvelimille ja Unified Access Gatewaylle (UAG) saadakseen alustavan pääsyn organisaatioihin, jotka eivät ole lisänneet saatavilla olevia korjaustiedostoja.

CSA tarjoaa tietoa, mukaan lukien taktiikat, tekniikat ja menettelyt sekä kompromissin indikaattorit, jotka on johdettu kahdesta toisiinsa liittyvästä tapahtumavastaustoimesta ja uhriverkostoista löydettyjen näytteiden haittaohjelmaanalyysistä.

Aiheeseen liittyvä artikkeli:
Log4Shell, Apache Log4j 2:n kriittinen haavoittuvuus, joka vaikuttaa moniin Java-projekteihin

Niille, jotka eivät tiedäe Log4Shell, sinun pitäisi tietää, että tämä on haavoittuvuus joka tuli ensimmäisen kerran esiin joulukuussa ja kohdistui aktiivisesti haavoittuvuuksiin löytyy Apache Log4:stäj, jota on luonnehdittu suosituksi kehykseksi kirjauksen järjestämiseen Java-sovelluksissa, mikä mahdollistaa mielivaltaisen koodin suorittamisen, kun rekisteriin kirjoitetaan erityisesti muotoiltu arvo muodossa "{jndi: URL}".

Haavoittuvuus Se on huomionarvoista, koska hyökkäys voidaan suorittaa Java-sovelluksissaNe tallentavat arvoja, jotka on saatu ulkoisista lähteistä, esimerkiksi näyttämällä ongelmallisia arvoja virheilmoituksissa.

On havaittu, että lähes kaikki projektit, jotka käyttävät kehyksiä, kuten Apache Struts, Apache Solr, Apache Druid tai Apache Flink, vaikuttavat, mukaan lukien Steam, Apple iCloud, Minecraft-asiakkaat ja palvelimet.

Täydellinen hälytys kertoo useista viimeaikaisista tapauksista, joissa hakkerit ovat onnistuneesti hyödyntäneet haavoittuvuutta päästäkseen käsiksi. Ainakin yhdessä vahvistetussa kompromississa toimijat keräsivät ja poimivat arkaluontoisia tietoja uhrin verkosta.

Yhdysvaltain rannikkovartioston kyberkomission suorittama uhkaetsintä osoittaa, että uhkatekijät käyttivät Log4Shellia saadakseen ensimmäisen verkkoon pääsyn paljastamattomalta uhrilta. He latasivat hmsvc.exe-haittaohjelmatiedoston, joka naamioituu Microsoft Windows SysInternals LogonSessions -suojausapuohjelmaksi.

Haittaohjelmistoon upotettu suoritettava tiedosto sisältää erilaisia ​​ominaisuuksia, mukaan lukien näppäinpainallusten kirjaamisen ja lisähyötykuormien toteuttamisen, ja tarjoaa graafisen käyttöliittymän uhrin Windows-työpöytäjärjestelmän käyttämiseen. Se voi toimia komento- ja ohjaustunnelivälityspalvelimena, jolloin etäoperaattori voi päästä pidemmälle verkkoon, virastot sanovat.

Analyysi havaitsi myös, että hmsvc.exe toimi paikallisena järjestelmätilinä korkeimmalla mahdollisella käyttöoikeustasolla, mutta ei selittänyt, kuinka hyökkääjät nostivat oikeuksiaan siihen pisteeseen.

CISA ja rannikkovartiosto suosittelevat että kaikki organisaatiot asenna päivitetyt koontiversiot varmistaaksesi, että VMware Horizon- ja UAG-järjestelmät vaikuttaa uusimpaan versioon.

Hälytys lisäsi, että organisaatioiden tulee aina pitää ohjelmistot ajan tasalla ja priorisoida tunnettujen hyödynnettyjen haavoittuvuuksien korjaamista. Internetiin päin olevat hyökkäyspinnat tulisi minimoida isännöimällä olennaiset palvelut segmentoidulla demilitarisoidulla vyöhykkeellä.

"Tietojoukossamme olevien Horizon-palvelimien lukumäärän perusteella, joita ei ole korjattu (vain 18 % korjattiin viime perjantai-iltana), on olemassa suuri riski, että tämä vaikuttaa vakavasti satoihin, ellei tuhansiin yrityksiin. Tämä viikonloppu on myös ensimmäinen kerta, kun näemme todisteita laajalle levinneestä eskalaatiosta, joka ulottuu ensimmäisestä pääsystä vihollisen toiminnan aloittamiseen Horizon-palvelimissa."

Näin varmistetaan tiukka pääsynvalvonta verkon kehälle eikä se isännöi Internetiin päin olevia palveluita, jotka eivät ole välttämättömiä liiketoiminnan kannalta.

CISA ja CGCYBER rohkaisevat käyttäjiä ja järjestelmänvalvojia päivittämään kaikki asiaankuuluvat VMware Horizon- ja UAG-järjestelmät uusimpiin versioihin. Jos päivityksiä tai kiertotapoja ei otettu käyttöön heti Log4Shellin VMware-päivitysten julkaisemisen jälkeen, käsittele kaikkia VMware-järjestelmiä vaarantuneina. Katso CSA Haitalliset kybertoimijat jatkavat Log4Shellin hyödyntämistä VMware Horizon Systemsissä saadaksesi lisätietoja ja lisäsuosituksia.

Vihdoin jos olet kiinnostunut tietämään siitä lisää, voit tarkistaa yksityiskohdat Seuraavassa linkissä.


Ole ensimmäinen kommentti

Jätä kommentti

Sähköpostiosoitettasi ei julkaista. Pakolliset kentät on merkitty *

*

*

  1. Vastuussa tiedoista: Miguel Ángel Gatón
  2. Tietojen tarkoitus: Roskapostin hallinta, kommenttien hallinta.
  3. Laillistaminen: Suostumuksesi
  4. Tietojen välittäminen: Tietoja ei luovuteta kolmansille osapuolille muutoin kuin lain nojalla.
  5. Tietojen varastointi: Occentus Networks (EU) isännöi tietokantaa
  6. Oikeudet: Voit milloin tahansa rajoittaa, palauttaa ja poistaa tietojasi.