La Cyber Security and Infrastructure Agency (CISA) des États-Unis et le US Coast Guard Cyber Command (CGCYBER) ont annoncé par le biais d'un avis de cybersécurité (CSA) que Vulnérabilités Log4Shell (CVE-2021-44228) sont toujours exploités par des pirates.
Parmi les groupes de pirates qui ont été détectés qui exploitent encore la vulnérabilité cet "APT" et il a été constaté que ont attaqué les serveurs VMware Horizon et Unified Access Gateway (UAG) pour obtenir un accès initial aux organisations qui n'ont pas appliqué les correctifs disponibles.
Le CSA fournit des informations, y compris des tactiques, des techniques, des procédures et des indicateurs de compromission, dérivées de deux engagements de réponse aux incidents connexes et de l'analyse des logiciels malveillants d'échantillons découverts sur les réseaux victimes.
Pour ceux qui ne connaissent pase Log4Shell, vous devez savoir qu'il s'agit d'une vulnérabilité qui a fait surface pour la première fois en décembre et ciblait activement les vulnérabilités trouvé dans Apache Log4j, qui se caractérise comme un framework populaire pour organiser la journalisation dans les applications Java, permettant l'exécution de code arbitraire lorsqu'une valeur spécialement formatée est écrite dans le registre au format "{jndi: URL}".
Vulnérabilité Il est remarquable parce que l'attaque peut être effectuée dans des applications Java quiIls enregistrent des valeurs obtenues à partir de sources externes, par exemple en affichant des valeurs problématiques dans des messages d'erreur.
On observe que presque tous les projets qui utilisent des frameworks comme Apache Struts, Apache Solr, Apache Druid ou Apache Flink sont concernés, y compris les clients et serveurs Steam, Apple iCloud, Minecraft.
L'alerte complète détaille plusieurs cas récents où des pirates ont exploité avec succès la vulnérabilité pour y accéder. Dans au moins une compromission confirmée, les acteurs ont collecté et extrait des informations sensibles du réseau de la victime.
La recherche de menaces menée par le US Coast Guard Cyber Command montre que les acteurs de la menace ont exploité Log4Shell pour obtenir un accès initial au réseau d'une victime non divulguée. Ils ont téléchargé un fichier malveillant "hmsvc.exe.", qui se fait passer pour l'utilitaire de sécurité Microsoft Windows SysInternals LogonSessions.
Un exécutable intégré au logiciel malveillant contient diverses fonctionnalités, notamment la journalisation des frappes et la mise en œuvre de charges utiles supplémentaires, et fournit une interface utilisateur graphique pour accéder au système de bureau Windows de la victime. Il peut fonctionner comme un proxy de tunnellisation de commande et de contrôle, permettant à un opérateur distant d'accéder plus loin dans un réseau, selon les agences.
L'analyse a également révélé que hmsvc.exe fonctionnait en tant que compte système local avec le niveau de privilège le plus élevé possible, mais n'a pas expliqué comment les attaquants avaient élevé leurs privilèges à ce point.
CISA et la Garde côtière recommandent que toutes les organisations installer des versions mises à jour pour garantir que les systèmes VMware Horizon et UAG concernés exécuter la dernière version.
L'alerte ajoute que les organisations doivent toujours maintenir les logiciels à jour et donner la priorité à la correction des vulnérabilités exploitées connues. Les surfaces d'attaque faisant face à Internet doivent être minimisées en hébergeant les services essentiels dans une zone démilitarisée segmentée.
"Sur la base du nombre de serveurs Horizon dans notre ensemble de données qui ne sont pas corrigés (seulement 18% ont été corrigés vendredi soir dernier), il y a un risque élevé que cela ait un impact sérieux sur des centaines, voire des milliers, d'entreprises. . Ce week-end marque également la première fois que nous avons vu des preuves d'une escalade généralisée, allant de l'obtention d'un accès initial au début d'une action hostile sur les serveurs Horizon."
Cela garantit des contrôles d'accès stricts au périmètre du réseau et n'héberge pas de services Internet qui ne sont pas essentiels aux opérations commerciales.
CISA et CGCYBER encouragent les utilisateurs et les administrateurs à mettre à jour tous les systèmes VMware Horizon et UAG concernés vers les dernières versions. Si les mises à jour ou les solutions de contournement n'ont pas été appliquées immédiatement après la publication des mises à jour VMware pour Log4Shell, traitez tous les systèmes VMware concernés comme compromis. Voir CSA Les cyber-acteurs malveillants continuent d'exploiter Log4Shell sur les systèmes VMware Horizon pour plus d'informations et des recommandations supplémentaires.
Enfin si vous souhaitez en savoir plus, vous pouvez vérifier les détails dans le lien suivant.