યુએસ સાયબર સિક્યોરિટી એન્ડ ઈન્ફ્રાસ્ટ્રક્ચર એજન્સી (CISA) અને યુએસ કોસ્ટ ગાર્ડ સાયબર કમાન્ડ (CGCYBER) એ સાયબર સિક્યોરિટી એડવાઈઝરી (CSA) દ્વારા જાહેરાત કરી છે કે Log4Shell નબળાઈઓ (CVE-2021-44228) હજુ પણ હેકરો દ્વારા શોષણ કરવામાં આવી રહ્યું છે.
જે હેકર જૂથો શોધી કાઢવામાં આવ્યા છે જેઓ હજુ પણ નબળાઈનો ઉપયોગ કરી રહ્યા છે આ "APT" અને તે જાણવા મળ્યું છે VMware Horizon સર્વર્સ અને યુનિફાઇડ એક્સેસ ગેટવે પર હુમલો કરવામાં આવ્યો છે (UAG) એવી સંસ્થાઓની પ્રારંભિક ઍક્સેસ મેળવવા માટે કે જેણે ઉપલબ્ધ પેચો લાગુ કર્યા નથી.
CSA યુક્તિઓ, તકનીકો અને પ્રક્રિયાઓ અને સમાધાનના સૂચકો સહિતની માહિતી પ્રદાન કરે છે, જે બે સંબંધિત ઘટના પ્રતિભાવ જોડાણો અને પીડિત નેટવર્ક્સ પર શોધાયેલા નમૂનાઓના માલવેર વિશ્લેષણમાંથી મેળવે છે.
જેઓ જાણતા નથી તેમના માટેe Log4Shell, તમારે જાણવું જોઈએ કે આ એક નબળાઈ છે જે સૌપ્રથમ ડિસેમ્બરમાં સામે આવ્યું હતું અને સક્રિયપણે નબળાઈઓને નિશાન બનાવ્યું હતું Apache Log4 માં જોવા મળે છેj, જે જાવા એપ્લીકેશનમાં લોગીંગ ગોઠવવા માટેના લોકપ્રિય માળખા તરીકે દર્શાવવામાં આવે છે, જ્યારે "{jndi: URL}" ફોર્મેટમાં રજિસ્ટ્રીમાં ખાસ ફોર્મેટ કરેલ મૂલ્ય લખવામાં આવે ત્યારે આર્બિટરી કોડને એક્ઝિક્યુટ કરવાની મંજૂરી આપે છે.
નબળાઇ તે નોંધનીય છે કારણ કે જાવા એપ્લિકેશન્સમાં હુમલો કરી શકાય છેતેઓ બાહ્ય સ્ત્રોતોમાંથી મેળવેલ મૂલ્યોને રેકોર્ડ કરે છે, ઉદાહરણ તરીકે ભૂલ સંદેશામાં સમસ્યારૂપ મૂલ્યો દર્શાવીને.
તે જોવા મળે છે અપાચે સ્ટ્રટ્સ, અપાચે સોલર, અપાચે ડ્રુડ અથવા અપાચે ફ્લિંક જેવા ફ્રેમવર્કનો ઉપયોગ કરતા લગભગ તમામ પ્રોજેક્ટ્સ અસરગ્રસ્ત છે, સ્ટીમ, Apple iCloud, Minecraft ક્લાયંટ અને સર્વર્સ સહિત.
સંપૂર્ણ ચેતવણી કેટલાક તાજેતરના કેસોની વિગતો આપે છે જ્યાં હેકર્સે ઍક્સેસ મેળવવાની નબળાઈનો સફળતાપૂર્વક ઉપયોગ કર્યો છે. ઓછામાં ઓછા એક પુષ્ટિ થયેલ સમાધાનમાં, અભિનેતાઓએ પીડિતના નેટવર્કમાંથી સંવેદનશીલ માહિતી એકત્રિત કરી અને બહાર કાઢી.
યુએસ કોસ્ટ ગાર્ડ સાયબર કમાન્ડ દ્વારા હાથ ધરવામાં આવેલ થ્રેટ સર્ચ બતાવે છે કે જોખમી કલાકારોએ અજ્ઞાત પીડિત પાસેથી પ્રારંભિક નેટવર્ક એક્સેસ મેળવવા માટે લોગ4શેલનો ઉપયોગ કર્યો હતો. તેઓએ "hmsvc.exe." માલવેર ફાઇલ અપલોડ કરી, જે Microsoft Windows SysInternals LogonSessions સુરક્ષા ઉપયોગિતા તરીકે માસ્કરેડ કરે છે.
માલવેરની અંદર એક્ઝિક્યુટેબલ એમ્બેડેડ વિવિધ ક્ષમતાઓ ધરાવે છે, જેમાં કીસ્ટ્રોક લોગીંગ અને વધારાના પેલોડ્સના અમલીકરણનો સમાવેશ થાય છે, અને પીડિતની વિન્ડોઝ ડેસ્કટોપ સિસ્ટમને ઍક્સેસ કરવા માટે ગ્રાફિકલ યુઝર ઇન્ટરફેસ પ્રદાન કરે છે. તે કમાન્ડ-એન્ડ-કંટ્રોલ ટનલિંગ પ્રોક્સી તરીકે કાર્ય કરી શકે છે, જે રિમોટ ઓપરેટરને નેટવર્કમાં વધુ પહોંચવાની મંજૂરી આપે છે, એજન્સીઓ કહે છે.
વિશ્લેષણમાં એ પણ જાણવા મળ્યું કે hmsvc.exe એ ઉચ્ચતમ સંભવિત વિશેષાધિકાર સ્તર સાથે સ્થાનિક સિસ્ટમ એકાઉન્ટ તરીકે ચાલી રહ્યું હતું, પરંતુ હુમલાખોરોએ તેમના વિશેષાધિકારોને તે બિંદુ સુધી કેવી રીતે વધાર્યા તે સમજાવ્યું નથી.
CISA અને કોસ્ટ ગાર્ડ ભલામણ કરે છે કે તમામ સંસ્થાઓ VMware Horizon અને UAG સિસ્ટમની ખાતરી કરવા માટે અપડેટેડ બિલ્ડ્સ ઇન્સ્ટોલ કરો અસરગ્રસ્ત નવીનતમ સંસ્કરણ ચલાવો.
ચેતવણીમાં ઉમેર્યું હતું કે સંસ્થાઓએ હંમેશા સોફ્ટવેરને અદ્યતન રાખવું જોઈએ અને જાણીતી શોષિત નબળાઈઓને પેચ કરવાને પ્રાથમિકતા આપવી જોઈએ. વિભાજિત ડિમિલિટરાઇઝ્ડ ઝોનમાં આવશ્યક સેવાઓ હોસ્ટ કરીને ઈન્ટરનેટ-ફેસિંગ એટેક સપાટીઓને ઓછી કરવી જોઈએ.
“અમારા ડેટા સેટમાં હોરાઇઝન સર્વર્સની સંખ્યાના આધારે જે પેચ કરેલા નથી (છેલ્લા શુક્રવારની રાત સુધીમાં ફક્ત 18% જ પેચ કરવામાં આવ્યા હતા), ત્યાં એક ઉચ્ચ જોખમ છે કે તેનાથી સેંકડો, જો હજારો નહીં, તો વ્યવસાયોને ગંભીર અસર થશે. . આ સપ્તાહાંત એ પણ પ્રથમ વખત ચિહ્નિત કરે છે જ્યારે અમે વ્યાપક વૃદ્ધિના પુરાવા જોયા છે, જે પ્રારંભિક ઍક્સેસ મેળવવાથી લઈને હોરાઇઝન સર્વર્સ પર પ્રતિકૂળ પગલાં લેવાનું શરૂ કરે છે."
આમ કરવાથી નેટવર્ક પરિમિતિ પર કડક એક્સેસ નિયંત્રણો સુનિશ્ચિત થાય છે અને ઈન્ટરનેટ-ફેસિંગ સેવાઓને હોસ્ટ કરતી નથી જે વ્યવસાયિક કામગીરી માટે જરૂરી નથી.
CISA અને CGCYBER વપરાશકર્તાઓ અને પ્રબંધકોને તમામ અસરગ્રસ્ત VMware Horizon અને UAG સિસ્ટમને નવીનતમ સંસ્કરણોમાં અપડેટ કરવા પ્રોત્સાહિત કરે છે. જો Log4Shell માટે VMware અપડેટ્સ રીલીઝ થયા પછી તરત જ અપડેટ્સ અથવા વર્કઅરાઉન્ડ્સ લાગુ કરવામાં આવ્યા ન હતા, તો તમામ અસરગ્રસ્ત VMware સિસ્ટમોને ચેડાં તરીકે ગણો. વધુ માહિતી અને વધારાની ભલામણો માટે CSA દૂષિત સાયબર એક્ટર્સ VMware Horizon Systems પર Log4Shellનું શોષણ કરવાનું ચાલુ રાખો જુઓ.
છેલ્લે જો તમને તેના વિશે વધુ જાણવામાં રસ છે, તમે વિગતો ચકાસી શકો છો નીચેની કડીમાં.