यूएस साइबर सिक्योरिटी एंड इंफ्रास्ट्रक्चर एजेंसी (CISA) और यूएस कोस्ट गार्ड साइबर कमांड (CGCYBER) ने साइबर सुरक्षा सलाहकार (CSA) के माध्यम से घोषणा की कि Log4शेल कमजोरियां (सीवीई-2021-44228) अभी भी हैकर्स द्वारा शोषण किया जा रहा है।
जिन हैकर समूहों का पता लगाया गया है उनमें से जो अभी भी भेद्यता का फायदा उठा रहे हैं यह "एपीटी" और यह पाया गया है कि VMware क्षितिज सर्वर और यूनिफाइड एक्सेस गेटवे पर हमला कर रहे हैं (यूएजी) उन संगठनों तक प्रारंभिक पहुंच प्राप्त करने के लिए जिन्होंने उपलब्ध पैच लागू नहीं किए हैं।
सीएसए दो संबंधित घटना प्रतिक्रिया सगाई और पीड़ित नेटवर्क पर खोजे गए नमूनों के मैलवेयर विश्लेषण से प्राप्त रणनीति, तकनीकों और प्रक्रियाओं और समझौता के संकेतक सहित जानकारी प्रदान करता है।
उन लोगों के लिए जो नहीं जानतेe Log4Shell, आपको पता होना चाहिए कि यह एक भेद्यता है जो पहली बार दिसंबर में सामने आया और सक्रिय रूप से कमजोरियों को लक्षित किया अपाचे लॉग4 में पाया गयाj, जिसे जावा अनुप्रयोगों में लॉगिंग को व्यवस्थित करने के लिए एक लोकप्रिय ढांचे के रूप में वर्णित किया गया है, जो "{jndi: URL}" प्रारूप में रजिस्ट्री को विशेष रूप से स्वरूपित मान लिखे जाने पर मनमाने कोड को निष्पादित करने की अनुमति देता है।
भेद्यता यह उल्लेखनीय है क्योंकि जावा अनुप्रयोगों में हमला किया जा सकता है किवे बाहरी स्रोतों से प्राप्त मूल्यों को रिकॉर्ड करते हैं, उदाहरण के लिए त्रुटि संदेशों में समस्याग्रस्त मान प्रदर्शित करके।
यह देखा गया है कि अपाचे स्ट्रट्स, अपाचे सोलर, अपाचे ड्र्यूड या अपाचे फ्लिंक जैसे ढांचे का उपयोग करने वाली लगभग सभी परियोजनाएं प्रभावित होती हैं, स्टीम, ऐप्पल आईक्लाउड, माइनक्राफ्ट क्लाइंट और सर्वर सहित।
पूर्ण अलर्ट कई हालिया मामलों का विवरण देता है जहां हैकर्स ने पहुंच हासिल करने के लिए भेद्यता का सफलतापूर्वक फायदा उठाया है। कम से कम एक पुष्टि समझौते में, अभिनेताओं ने पीड़ित के नेटवर्क से संवेदनशील जानकारी एकत्र की और निकाली।
यूएस कोस्ट गार्ड साइबर कमांड द्वारा की गई थ्रेट सर्च से पता चलता है कि धमकी देने वाले अभिनेताओं ने एक अज्ञात पीड़ित से प्रारंभिक नेटवर्क एक्सेस हासिल करने के लिए Log4Shell का फायदा उठाया। उन्होंने एक "hmsvc.exe." मैलवेयर फ़ाइल अपलोड की, जो Microsoft Windows SysInternals LogonSessions सुरक्षा उपयोगिता के रूप में सामने आती है।
मैलवेयर के भीतर एम्बेडेड एक निष्पादन योग्य में विभिन्न क्षमताएं होती हैं, जिसमें कीस्ट्रोक लॉगिंग और अतिरिक्त पेलोड का कार्यान्वयन शामिल है, और पीड़ित के विंडोज डेस्कटॉप सिस्टम तक पहुंचने के लिए एक ग्राफिकल यूजर इंटरफेस प्रदान करता है। एजेंसियों का कहना है कि यह एक कमांड-एंड-कंट्रोल टनलिंग प्रॉक्सी के रूप में कार्य कर सकता है, जिससे रिमोट ऑपरेटर को नेटवर्क में आगे तक पहुंचने की इजाजत मिलती है।
विश्लेषण में यह भी पाया गया कि hmsvc.exe उच्चतम संभव विशेषाधिकार स्तर के साथ एक स्थानीय सिस्टम खाते के रूप में चल रहा था, लेकिन यह नहीं बताया कि हमलावरों ने अपने विशेषाधिकारों को उस बिंदु तक कैसे बढ़ाया।
CISA और तटरक्षक बल अनुशंसा करते हैं कि सभी संगठन VMware क्षितिज और UAG सिस्टम सुनिश्चित करने के लिए अद्यतन बिल्ड स्थापित करें प्रभावित नवीनतम संस्करण चलाते हैं।
अलर्ट में कहा गया है कि संगठनों को हमेशा सॉफ्टवेयर को अपडेट रखना चाहिए और ज्ञात शोषित कमजोरियों को पैच करने को प्राथमिकता देनी चाहिए। एक खंडित विसैन्यीकृत क्षेत्र में आवश्यक सेवाओं की मेजबानी करके इंटरनेट का सामना करने वाली हमले की सतहों को कम से कम किया जाना चाहिए।
"हमारे डेटा सेट में होराइजन सर्वरों की संख्या के आधार पर जो पैच नहीं किए गए हैं (पिछली शुक्रवार की रात तक केवल 18% पैच किए गए थे), एक उच्च जोखिम है कि यह सैकड़ों, यदि हजारों नहीं, तो व्यवसायों को गंभीर रूप से प्रभावित करेगा। । इस सप्ताह के अंत में पहली बार हमने व्यापक वृद्धि के साक्ष्य देखे हैं, जो प्रारंभिक पहुंच प्राप्त करने से लेकर क्षितिज सर्वर पर शत्रुतापूर्ण कार्रवाई करने के लिए जा रहे हैं।"
ऐसा करने से नेटवर्क परिधि पर सख्त पहुंच नियंत्रण सुनिश्चित होता है और इंटरनेट-फेसिंग सेवाओं की मेजबानी नहीं करता है जो व्यवसाय संचालन के लिए आवश्यक नहीं हैं।
CISA और CGCYBER उपयोगकर्ताओं और प्रशासकों को सभी प्रभावित VMware क्षितिज और UAG सिस्टम को नवीनतम संस्करणों में अपडेट करने के लिए प्रोत्साहित करते हैं। अगर Log4Shell के लिए VMware अपडेट जारी होने के तुरंत बाद अपडेट या वर्कअराउंड लागू नहीं किए गए थे, तो सभी प्रभावित VMware सिस्टम को समझौता के रूप में मानें। अधिक जानकारी और अतिरिक्त अनुशंसाओं के लिए देखें CSA दुर्भावनापूर्ण साइबर अभिनेता VMware क्षितिज सिस्टम पर Log4Shell का शोषण करना जारी रखते हैं।
अंत में यदि आप इसके बारे में अधिक जानने में रुचि रखते हैं, आप विवरण की जांच कर सकते हैं निम्नलिखित लिंक में.