Badan Keamanan dan Infrastruktur Siber AS (CISA) dan Komando Siber Penjaga Pantai AS (CGCYBER) mengumumkan melalui penasihat keamanan siber (CSA) bahwa Kerentanan Log4Shell (CVE-2021-44228) masih dieksploitasi oleh hacker.
Dari kelompok hacker yang telah terdeteksi yang masih mengeksploitasi kerentanan ini "APT" dan telah ditemukan bahwa telah menyerang server VMware Horizon dan Gerbang Akses Terpadu (UAG) untuk mendapatkan akses awal ke organisasi yang belum menerapkan patch yang tersedia.
CSA memberikan informasi, termasuk taktik, teknik, dan prosedur serta indikator kompromi, yang berasal dari dua keterlibatan respons insiden terkait dan analisis malware dari sampel yang ditemukan di jaringan korban.
Bagi yang belum tahue Log4Shell, Anda harus tahu bahwa ini adalah kerentanan yang pertama kali muncul pada bulan Desember dan secara aktif menargetkan kerentanan ditemukan di Apache Log4j, yang dicirikan sebagai kerangka kerja populer untuk mengatur logging di aplikasi Java, memungkinkan kode arbitrer dieksekusi ketika nilai yang diformat khusus ditulis ke registri dalam format "{jndi: URL}".
Kerentanan Hal ini penting karena serangan dapat dilakukan di aplikasi Java yangMereka merekam nilai yang diperoleh dari sumber eksternal, misalnya dengan menampilkan nilai bermasalah dalam pesan kesalahan.
Hal itu diamati hampir semua proyek yang menggunakan kerangka kerja seperti Apache Struts, Apache Solr, Apache Druid atau Apache Flink terpengaruh, termasuk Steam, Apple iCloud, klien dan server Minecraft.
Peringatan lengkap merinci beberapa kasus baru-baru ini di mana peretas telah berhasil mengeksploitasi kerentanan untuk mendapatkan akses. Setidaknya dalam satu kompromi yang dikonfirmasi, para pelaku mengumpulkan dan mengekstrak informasi sensitif dari jaringan korban.
Pencarian ancaman yang dilakukan oleh US Coast Guard Cyber Command menunjukkan bahwa pelaku ancaman mengeksploitasi Log4Shell untuk mendapatkan akses jaringan awal dari korban yang dirahasiakan. Mereka mengunggah file malware “hmsvc.exe.”, yang menyamar sebagai utilitas keamanan Microsoft Windows SysInternals LogonSessions.
Sebuah executable tertanam dalam malware berisi berbagai kemampuan, termasuk keystroke logging dan implementasi muatan tambahan, dan menyediakan antarmuka pengguna grafis untuk mengakses sistem desktop Windows korban. Ini dapat berfungsi sebagai proxy tunneling perintah-dan-kontrol, memungkinkan operator jarak jauh untuk menjangkau lebih jauh ke dalam jaringan, kata agensi.
Analisis juga menemukan bahwa hmsvc.exe berjalan sebagai akun sistem lokal dengan tingkat hak istimewa setinggi mungkin, tetapi tidak menjelaskan bagaimana penyerang meningkatkan hak istimewa mereka ke titik itu.
CISA dan Penjaga Pantai merekomendasikan bahwa semua organisasi instal build yang diperbarui untuk memastikan bahwa sistem VMware Horizon dan UAG terpengaruh menjalankan versi terbaru.
Peringatan tersebut menambahkan bahwa organisasi harus selalu memperbarui perangkat lunak dan memprioritaskan penambalan kerentanan yang diketahui dieksploitasi. Permukaan serangan yang menghadap ke Internet harus diminimalkan dengan menghosting layanan penting di zona demiliterisasi yang tersegmentasi.
“Berdasarkan jumlah server Horizon di kumpulan data kami yang tidak ditambal (hanya 18% yang ditambal pada Jumat malam lalu), ada risiko tinggi bahwa ini akan berdampak serius pada ratusan, jika bukan ribuan, bisnis. . Akhir pekan ini juga menandai pertama kalinya kami melihat bukti eskalasi yang meluas, mulai dari mendapatkan akses awal hingga mulai mengambil tindakan permusuhan di server Horizon."
Melakukannya memastikan kontrol akses yang ketat ke perimeter jaringan dan tidak meng-host layanan yang terhubung ke Internet yang tidak penting untuk operasi bisnis.
CISA dan CGCYBER mendorong pengguna dan administrator untuk memperbarui semua sistem VMware Horizon dan UAG yang terpengaruh ke versi terbaru. Jika pembaruan atau solusi tidak diterapkan segera setelah rilis pembaruan VMware untuk Log4Shell , perlakukan semua sistem VMware yang terpengaruh sebagai dikompromikan. Lihat CSA Malicious Cyber Actors Terus Mengeksploitasi Log4Shell di VMware Horizon Systems untuk informasi lebih lanjut dan rekomendasi tambahan.
Akhirnya jika Anda tertarik untuk mengetahui lebih banyak tentangnya, Anda dapat memeriksa detailnya Di tautan berikut.