Az Egyesült Államok Kiberbiztonsági és Infrastruktúra Ügynöksége (CISA) és az Egyesült Államok Parti Őrség Kiberparancsnoksága (CGCYBER) kiberbiztonsági tanácsadó (CSA) útján bejelentette, hogy Log4Shell biztonsági rések (CVE-2021-44228) még mindig kihasználják a hackerek.
Az észlelt hackercsoportok közül akik még mindig kihasználják a sebezhetőséget ez az "APT" és azt találták támadták a VMware Horizon szervereket és a Unified Access Gateway-t (UAG), hogy első hozzáférést kapjon azokhoz a szervezetekhez, amelyek nem alkalmazták az elérhető javításokat.
A CSA információkat tartalmaz, beleértve a taktikákat, technikákat és eljárásokat, valamint a kompromisszum indikátorait, amelyek két kapcsolódó incidensreagálási kötelezettségből és az áldozati hálózatokon felfedezett minták rosszindulatú szoftverelemzéséből származnak.
Azoknak, akik nem tudjáke Log4Shell, tudnia kell, hogy ez egy biztonsági rés amely először decemberben bukkant fel, és aktívan a sebezhetőségeket célozta meg az Apache Log4-ben találhatój, amelyet népszerű keretrendszerként jellemeznek a Java-alkalmazások naplózásának megszervezésére, lehetővé téve tetszőleges kód végrehajtását, amikor egy speciálisan formázott érték kerül a rendszerleíró adatbázisba a „{jndi: URL}” formátumban.
Sebezhetőség Figyelemre méltó, mert a támadást olyan Java alkalmazásokban lehet végrehajtani, amelyekRögzítik a külső forrásokból származó értékeket, például a problémás értékek hibaüzenetekben történő megjelenítésével.
Megfigyelhető, hogy szinte minden olyan projektet érint, amely olyan keretrendszert használ, mint az Apache Struts, Apache Solr, Apache Druid vagy Apache Flink, beleértve a Steam, Apple iCloud, Minecraft klienseket és szervereket.
A teljes riasztás részletez néhány olyan közelmúltbeli esetet, amikor a hackerek sikeresen kihasználták a sebezhetőséget a hozzáférés elérésére. Legalább egy megerősített kompromisszum során a szereplők érzékeny információkat gyűjtöttek és vontak ki az áldozat hálózatából.
Az amerikai parti őrség kiberparancsnoksága által végzett fenyegetés-kutatás azt mutatja, hogy a fenyegetés szereplői kihasználták a Log4Shellt, hogy első hálózati hozzáférést szerezzenek egy ismeretlen áldozattól. Feltöltöttek egy „hmsvc.exe.” kártevő fájlt, amely Microsoft Windows SysInternals LogonSessions biztonsági segédprogramként álcázza magát.
A rosszindulatú programba beágyazott végrehajtható fájl különféle lehetőségeket tartalmaz, beleértve a billentyűleütések naplózását és további hasznos terhelések megvalósítását, valamint grafikus felhasználói felületet biztosít az áldozat Windows asztali rendszerének eléréséhez. Az ügynökségek szerint parancsnoki és vezérlő alagút-proxyként működhet, lehetővé téve a távoli kezelő számára, hogy tovább nyúljon a hálózatba.
Az elemzés azt is megállapította, hogy a hmsvc.exe helyi rendszerfiókként fut a lehető legmagasabb jogosultsági szinttel, de nem magyarázta meg, hogy a támadók hogyan emelték odáig a jogosultságukat.
A CISA és a parti őrség ajánlja hogy minden szervezet telepítse a frissített buildeket, hogy biztosítsa a VMware Horizon és az UAG rendszereket érintett futtassa a legújabb verziót.
A figyelmeztetés hozzátette, hogy a szervezeteknek mindig naprakészen kell tartaniuk a szoftvereket, és előnyben kell részesíteniük az ismert, kihasznált sebezhetőségek javítását. Az internet felé néző támadási felületeket minimálisra kell csökkenteni, ha az alapvető szolgáltatásokat egy szegmentált demilitarizált zónában helyezik el.
„Az adatkészletünkben található azon Horizon-szerverek száma alapján, amelyek nincsenek javítva (múlt péntek este csak 18%-uk volt javítva), nagy a kockázata annak, hogy ez vállalkozások százait, ha nem ezreit érinti komolyan. Ezen a hétvégén először látunk bizonyítékot a széles körű eszkalációra, amely a kezdeti hozzáférés megszerzésétől az ellenséges akciók megkezdéséig terjed a Horizon szervereken."
Ezzel szigorú hozzáférés-szabályozást biztosít a hálózat pereméhez, és nem ad otthont olyan internetre néző szolgáltatásoknak, amelyek nem nélkülözhetetlenek az üzleti tevékenységhez.
A CISA és a CGCYBER arra ösztönzi a felhasználókat és a rendszergazdákat, hogy frissítsék az összes érintett VMware Horizon és UAG rendszert a legújabb verzióra. Ha a frissítéseket vagy a kerülő megoldásokat nem alkalmazták közvetlenül a Log4Shell VMware-frissítéseinek kiadása után, kezelje az összes érintett VMware-rendszert feltörtként. További információkért és további javaslatokért lásd: CSA rosszindulatú kiberszereplők továbbra is kihasználják a Log4Shell szolgáltatást a VMware Horizon Systems rendszeren.
Végül ha érdekel, hogy többet tudjon meg róla, ellenőrizheti a részleteket A következő linken.