סוכנות הסייבר ותשתיות האמריקנית (CISA) ומפקדת הסייבר של משמר החופים של ארה"ב (CGCYBER) הודיעו באמצעות ייעוץ אבטחת סייבר (CSA) כי נקודות תורפה של Log4Shell (CVE-2021-44228) עדיין מנוצלים על ידי האקרים.
מקבוצות ההאקרים שהתגלו שעדיין מנצלים את הפגיעות ה"APT" הזה וזה נמצא תקפו על שרתי VMware Horizon ו-Unified Access Gateway (UAG) כדי לקבל גישה ראשונית לארגונים שלא החלו תיקונים זמינים.
ה-CSA מספק מידע, כולל טקטיקות, טכניקות ונהלים ואינדיקטורים של פשרה, הנגזר משתי התקשרויות הקשורות לתגובה לאירועים וניתוח תוכנות זדוניות של דוגמאות שהתגלו ברשתות הקורבנות.
למי שלא יודעe Log4Shell, אתה צריך לדעת שזו פגיעות שהופיע לראשונה בדצמבר וכיוון באופן פעיל לפגיעויות נמצא ב- Apache Log4j, אשר מאופיינת כמסגרת פופולרית לארגון רישום באפליקציות Java, המאפשרת ביצוע קוד שרירותי כאשר ערך בפורמט מיוחד נכתב לרישום בפורמט "{jndi: URL}".
פגיעות זה בולט כי ההתקפה יכולה להתבצע ביישומי Javaהם מתעדים ערכים שהושגו ממקורות חיצוניים, למשל על ידי הצגת ערכים בעייתיים בהודעות שגיאה.
נצפה כי כמעט כל הפרויקטים המשתמשים במסגרות כמו Apache Struts, Apache Solr, Apache Druid או Apache Flink מושפעים, כולל Steam, Apple iCloud, לקוחות ושרתים של Minecraft.
ההתראה המלאה מפרטת כמה מקרים אחרונים שבהם האקרים ניצלו בהצלחה את הפגיעות כדי לקבל גישה. לפחות בפשרה אחת מאושרת, השחקנים אספו ושלפו מידע רגיש מהרשת של הקורבן.
חיפוש איומים שנערך על ידי מפקדת הסייבר של משמר החופים האמריקאי מראה ששחקני איומים ניצלו את Log4Shell כדי לקבל גישה ראשונית לרשת מקורבן לא ידוע. הם העלו קובץ תוכנה זדונית "hmsvc.exe", שמתחזה לכלי האבטחה של Microsoft Windows SysInternals LogonSessions.
קובץ הפעלה המוטמע בתוכנת התוכנה הזדונית מכיל יכולות שונות, כולל רישום הקשות והטמעה של עומסים נוספים, ומספק ממשק משתמש גרפי לגישה למערכת שולחן העבודה של הקורבן של הקורבן. זה יכול לתפקד כפרוקסי מנהור פקודה ושליטה, המאפשר למפעיל מרוחק להגיע רחוק יותר לרשת, אומרים הסוכנויות.
הניתוח מצא גם כי hmsvc.exe פועל כחשבון מערכת מקומי עם רמת ההרשאות הגבוהה ביותר האפשרית, אך לא הסביר כיצד התוקפים העלו את ההרשאות שלהם לנקודה זו.
CISA ומשמר החופים ממליצים שכל הארגונים להתקין גרסאות מעודכנות כדי להבטיח שמערכות VMware Horizon ו-UAG מושפע הפעל את הגרסה האחרונה.
ההתראה הוסיפה כי ארגונים צריכים תמיד לעדכן את התוכנה ולתת עדיפות לתיקון פגיעויות ידועות מנוצלות. יש למזער משטחי תקיפה הפונה לאינטרנט על ידי אירוח שירותים חיוניים באזור מפורז מפולח.
"בהתבסס על מספר שרתי הורייזון במערך הנתונים שלנו שאינם מתוקנים (רק 18% טופלו נכון ליום שישי האחרון), קיים סיכון גבוה שהדבר ישפיע באופן רציני על מאות, אם לא אלפי, עסקים. סוף השבוע הזה גם מציין את הפעם הראשונה שראינו עדויות להסלמה נרחבת, החל מהשגת גישה ראשונית לתחילת ביצוע פעולה עוינת בשרתי הורייזון".
פעולה זו מבטיחה בקרת גישה קפדנית להיקף הרשת ואינה מארח שירותים פונים לאינטרנט שאינם חיוניים לפעילות העסק.
CISA ו-CGCYBER מעודדות משתמשים ומנהלי מערכת לעדכן את כל מערכות VMware Horizon ו-UAG המושפעות לגרסאות העדכניות ביותר. אם העדכונים או הדרכים לעקיפת הבעיה לא הוחלו מיד לאחר שחרורו של עדכוני VMware עבור Log4Shell, התייחס לכל מערכות VMware המושפעות כאל נפגעות. ראה שחקני סייבר זדוניים של CSA ממשיכים לנצל את Log4Shell ב-VMware Horizon Systems למידע נוסף והמלצות נוספות.
בסופו של דבר אם אתה מעוניין לדעת יותר על כך, אתה יכול לבדוק את הפרטים בקישור הבא.