La Agencia de Infraestructura y Ciberseguridad de EE. UU. (CISA) y el Comando CibernĂ©tico de la Guardia Costera de los Estados Unidos (CGCYBER) dieron a conocer mediante un aviso de seguridad cibernĂ©tica (CSA) que las vulnerabilidades de Log4Shell (CVE-2021- 44228) todavĂa estĂĄn siendo aprovechadas por hackers.
De los grupos de hackers que se ha detectado que aĂșn estĂĄn aprovechando la vulnerabilidad esta «APT» y se ha detectado que han estado atacando en servidores VMware Horizon y Unified Access Gateway (UAG) para obtener acceso inicial a organizaciones que no aplicaron los parches disponibles.
El CSA proporciona informaciĂłn, incluidas tĂĄcticas, tĂ©cnicas y procedimientos e indicadores de compromiso, derivada de dos compromisos de respuesta a incidentes relacionados y anĂĄlisis de malware de muestras descubiertas en las redes de las vĂctimas.
Para quienes desconocen de Log4Shell, deben saber que esta es una vulnerabilidad que surgió por primera vez en diciembre y apuntó activamente a las vulnerabilidades encontradas en Apache Log4j, el cual se caracteriza por ser un marco popular para organizar el registro en aplicaciones Java, que permite la ejecución de código arbitrario cuando se escribe un valor especialmente formateado en el registro en el formato «{jndi: URL}».
La vulnerabilidad es notable porque el ataque se puede llevar a cabo en aplicaciones Java que registran valores obtenidos de fuentes externas, por ejemplo, al mostrar valores problemĂĄticos en mensajes de error.
Se observa que casi todos los proyectos que utilizan frameworks como Apache Struts, Apache Solr, Apache Druid o Apache Flink se ven afectados, incluidos Steam, Apple iCloud, clientes y servidores de Minecraft.
La alerta completa detalla varios casos recientes en los que los hackers han explotado con Ă©xito la vulnerabilidad para obtener acceso. En al menos un compromiso confirmado, los actores recopilaron y extrajeron informaciĂłn confidencial de la red de la vĂctima.
La bĂșsqueda de amenazas realizada por el Comando CibernĂ©tico de la Guardia Costera de EE. UU. muestra que los actores de amenazas explotaron Log4Shell para obtener acceso inicial a la red de una vĂctima no revelada. Cargaron un archivo de malware «hmsvc.exe.», que se hace pasar por la utilidad de seguridad de Microsoft Windows SysInternals LogonSessions.
Un ejecutable incrustado dentro del malware contiene varias capacidades, incluido el registro de pulsaciones de teclas y la implementaciĂłn de cargas Ăștiles adicionales, y proporciona una interfaz grĂĄfica de usuario para acceder al sistema de escritorio de Windows de la vĂctima. Puede funcionar como un proxy de tunelizaciĂłn de comando y control, lo que permite a un operador remoto avanzar mĂĄs en una red, dicen las agencias.
El anålisis también encontró que hmsvc.exese ejecutaba como una cuenta de sistema local con el nivel de privilegios mås alto posible, pero no explica cómo los atacantes elevaron sus privilegios hasta ese punto.
CISA y la Guardia Costera recomiendan que todas las organizaciones instalen compilaciones actualizadas para garantizar que los sistemas VMware Horizon y UAG afectados ejecuten la Ășltima versiĂłn.
La alerta agregĂł que las organizaciones siempre deben mantener el software actualizado y priorizar el parcheo de las vulnerabilidades explotadas conocidas. Las superficies de ataque orientadas a Internet deben minimizarse alojando servicios esenciales en una zona desmilitarizada segmentada.
«SegĂșn la cantidad de servidores Horizon en nuestro conjunto de datos que no estĂĄn parcheados (solo el 18 % estaban parcheados hasta el viernes pasado por la noche), existe un alto riesgo de que esto afecte seriamente a cientos, si no miles, de empresas. Este fin de semana tambiĂ©n marca la primera vez que vemos pruebas de una escalada generalizada, pasando de obtener acceso inicial a comenzar a tomar acciones hostiles en los servidores de Horizon»,
Hacerlo garantiza estrictos controles de acceso al perĂmetro de la red y no hospedar servicios orientados a Internet que no son esenciales para las operaciones comerciales.
CISA y CGCYBER alientan a los usuarios y administradores a actualizar todos los sistemas VMware Horizon y UAG afectados a las Ășltimas versiones. Si las actualizaciones o las soluciones alternativas no se aplicaron de inmediato despuĂ©s del lanzamiento de actualizaciones de VMware para Log4Shell , trate todos los sistemas VMware afectados como comprometidos. Consulte CSA Malicious Cyber ââActors ContinĂșa explotando Log4Shell en VMware Horizon Systems para obtener mĂĄs informaciĂłn y recomendaciones adicionales.
Finalmente si estĂĄs interesado en poder conocer mĂĄs al respecto, puedes consultar los detalles en el siguiente enlace.