La US Cyber Security and Infrastructure Agency (CISA) e il US Coast Guard Cyber Command (CGCYBER) hanno annunciato attraverso un avviso di sicurezza informatica (CSA) che Vulnerabilità di Log4Shell (CVE-2021-44228) sono ancora sfruttati dagli hacker.
Dei gruppi di hacker che sono stati rilevati che stanno ancora sfruttando la vulnerabilità questo "APT" ed è stato trovato che hanno attaccato i server VMware Horizon e Unified Access Gateway (UAG) per ottenere l'accesso iniziale alle organizzazioni che non hanno applicato le patch disponibili.
Il CSA fornisce informazioni, tra cui tattiche, tecniche e procedure e indicatori di compromissione, derivate da due interventi di risposta agli incidenti correlati e dall'analisi del malware di campioni scoperti sulle reti delle vittime.
Per chi non lo sapessee Log4Shell, dovresti sapere che questa è una vulnerabilità che è emersa per la prima volta a dicembre e ha preso di mira attivamente le vulnerabilità trovato in Apache Log4j, che è caratterizzato come un framework popolare per organizzare la registrazione nelle applicazioni Java, consentendo l'esecuzione di codice arbitrario quando un valore formattato in modo speciale viene scritto nel registro nel formato "{jndi: URL}".
Vulnerabilità È notevole perché l'attacco può essere eseguito in applicazioni Java cheRegistrano valori ottenuti da fonti esterne, ad esempio visualizzando valori problematici nei messaggi di errore.
Si osserva che quasi tutti i progetti che utilizzano framework come Apache Struts, Apache Solr, Apache Druid o Apache Flink sono interessati, inclusi Steam, Apple iCloud, client e server Minecraft.
L'avviso completo descrive in dettaglio diversi casi recenti in cui gli hacker hanno sfruttato con successo la vulnerabilità per ottenere l'accesso. In almeno una compromissione confermata, gli attori hanno raccolto ed estratto informazioni sensibili dalla rete della vittima.
La ricerca di minacce condotta dal Cyber Command della Guardia Costiera degli Stati Uniti mostra che gli attori delle minacce hanno sfruttato Log4Shell per ottenere l'accesso iniziale alla rete da una vittima sconosciuta. Hanno caricato un file malware "hmsvc.exe", mascherato da utilità di sicurezza LogonSessions SysInternals di Microsoft Windows.
Un eseguibile incorporato nel malware contiene varie funzionalità, tra cui la registrazione delle sequenze di tasti e l'implementazione di payload aggiuntivi, e fornisce un'interfaccia utente grafica per accedere al sistema desktop Windows della vittima. Può funzionare come un proxy di tunneling di comando e controllo, consentendo a un operatore remoto di raggiungere ulteriormente una rete, affermano le agenzie.
L'analisi ha anche rilevato che hmsvc.exe era in esecuzione come account di sistema locale con il livello di privilegio più alto possibile, ma non ha spiegato come gli aggressori abbiano elevato i propri privilegi a quel punto.
Raccomandano CISA e Guardia Costiera che tutte le organizzazioni installare build aggiornate per garantire che i sistemi VMware Horizon e UAG interessati eseguire l'ultima versione.
L'avviso aggiungeva che le organizzazioni dovrebbero mantenere sempre aggiornato il software e dare la priorità all'applicazione di patch alle vulnerabilità sfruttate note. Le superfici di attacco rivolte a Internet dovrebbero essere ridotte al minimo ospitando servizi essenziali in una zona demilitarizzata segmentata.
"Sulla base del numero di server Horizon nel nostro set di dati che non sono stati patchati (solo il 18% è stato patchato lo scorso venerdì sera), esiste un rischio elevato che ciò abbia un grave impatto su centinaia, se non migliaia, di aziende. . Questo fine settimana segna anche la prima volta che abbiamo visto prove di un'escalation diffusa, passando dall'ottenere l'accesso iniziale all'iniziare a intraprendere azioni ostili sui server Horizon".
Ciò garantisce severi controlli di accesso al perimetro della rete e non ospita servizi Internet che non sono essenziali per le operazioni aziendali.
CISA e CGCYBER incoraggiano utenti e amministratori ad aggiornare tutti i sistemi VMware Horizon e UAG interessati alle ultime versioni. Se gli aggiornamenti o le soluzioni alternative non sono stati applicati subito dopo il rilascio degli aggiornamenti VMware per Log4Shell, considera tutti i sistemi VMware interessati come compromessi. Vedere CSA Malicious Cyber Actors Continue to Exploit Log4Shell su VMware Horizon Systems per ulteriori informazioni e consigli aggiuntivi.
Infine se sei interessato a saperne di più, puoi controllare i dettagli Nel seguente collegamento.