ハッカーは引き続きVMwareHorizo​​nSystemsのLog4Shellの脆弱性を悪用します

Darkcrizt

4分

米国サイバーセキュリティインフラストラクチャエージェンシー(CISA)と米国沿岸警備隊サイバーコマンド(CGCYBER)は、サイバーセキュリティアドバイザリー(CSA)を通じて次のように発表しました。 Log4Shellの脆弱性 (CVE-2021-44228) まだハッカーによって悪用されています。

検出されたハッカーグループのうち まだ脆弱性を悪用している人 この「APT」 そしてそれは VMwareHorizo​​nサーバーとUnifiedAccessGatewayを攻撃しています (UAG)利用可能なパッチを適用していない組織への初期アクセスを取得します。

CSAは、XNUMXつの関連するインシデント対応エンゲージメントと、被害者のネットワークで発見されたサンプルのマルウェア分析から導き出された、戦術、技術、手順、侵入の痕跡などの情報を提供します。

関連記事
Log4Shell、多くのJavaプロジェクトに影響を与えるApache Log4j2の重大な脆弱性

知らない人のためにe Log4Shell、これは脆弱性であることを知っておく必要があります これはXNUMX月に最初に表面化し、脆弱性を積極的に標的にしました ApacheLog4で見つかりましたjは、Javaアプリケーションでログを整理するための一般的なフレームワークとして特徴付けられ、特別にフォーマットされた値が「{jndi:URL}」のフォーマットでレジストリに書き込まれるときに任意のコードを実行できるようにします。

脆弱性 攻撃はJavaアプリケーションで実行される可能性があるため、注目に値します。それらは、たとえばエラーメッセージに問題のある値を表示することによって、外部ソースから取得した値を記録します。

観察された Apache Struts、Apache Solr、Apache Druid、ApacheFlinkなどのフレームワークを使用するほとんどすべてのプロジェクトが影響を受けます。 Steam、Apple iCloud、Minecraftクライアントおよびサーバーを含みます。

完全なアラートでは、ハッカーが脆弱性を悪用してアクセスを取得した最近のいくつかのケースについて詳しく説明しています。 少なくともXNUMXつの確認された侵害では、攻撃者は被害者のネットワークから機密情報を収集して抽出しました。

米国沿岸警備隊のサイバーコマンドによって実施された脅威検索は、脅威の攻撃者がLog4Shellを悪用して、非公開の被害者から最初のネットワークアクセスを取得したことを示しています。 彼らは「hmsvc.exe」マルウェアファイルをアップロードしました。このマルウェアファイルは、Microsoft WindowsSysInternalsLogonSessionsセキュリティユーティリティを装っています。

マルウェアに埋め込まれた実行可能ファイルには、キーストロークロギングや追加のペイロードの実装などのさまざまな機能が含まれており、被害者のWindowsデスクトップシステムにアクセスするためのグラフィカルユーザーインターフェイスを提供します。 これは、コマンドアンドコントロールのトンネリングプロキシとして機能し、リモートオペレーターがネットワークにさらに到達できるようにすることができると当局は述べています。

分析では、hmsvc.exeが可能な限り最高の特権レベルを持つローカルシステムアカウントとして実行されていることもわかりましたが、攻撃者がその時点まで特権をどのように上げたかについては説明していませんでした。

CISAと沿岸警備隊は すべての組織が 更新されたビルドをインストールして、VMwareHorizo​​nおよびUAGシステムが確実に機能するようにします 影響を受ける最新バージョンを実行します。

アラートは、組織は常にソフトウェアを最新の状態に保ち、既知の悪用された脆弱性へのパッチ適用を優先する必要があると付け加えました。 セグメント化された非武装地帯で重要なサービスをホストすることにより、インターネットに面した攻撃対象領域を最小限に抑える必要があります。

「パッチが適用されていないデータセット内のHorizo​​nサーバーの数(先週の金曜日の夜の時点でパッチが適用されたのは18%のみ)に基づくと、これが数千とは言わないまでも数百の企業に深刻な影響を与えるリスクが高くなります。 この週末はまた、最初のアクセス権を取得してからHorizo​​nサーバーで敵対的な行動を取り始めるまで、広範囲にわたるエスカレーションの証拠を目にしたのは初めてのことです。」

そうすることで、ネットワーク境界への厳密なアクセス制御が保証され、ビジネス運用に不可欠ではないインターネット向けサービスがホストされなくなります。

CISAとCGCYBERは、影響を受けるすべてのVMwareHorizo​​nおよびUAGシステムを最新バージョンに更新することをユーザーと管理者に推奨しています。 Log4ShellのVMwareアップデートのリリース直後にアップデートまたは回避策が適用されなかった場合は、影響を受けるすべてのVMwareシステムを侵害されたものとして扱います。 詳細および追加の推奨事項については、CSA悪意のあるサイバーアクターが引き続きVMwareHorizo​​nSystemsでLog4Shellを悪用するを参照してください。

最後に あなたがそれについてもっと知りたいなら、詳細を確認できます 次のリンクで.


コメントを残す

あなたのメールアドレスが公開されることはありません。 必須フィールドには付いています *

*

*

  1. データの責任者:MiguelÁngelGatón
  2. データの目的:SPAMの制御、コメント管理。
  3. 正当化:あなたの同意
  4. データの伝達:法的義務がある場合を除き、データが第三者に伝達されることはありません。
  5. データストレージ:Occentus Networks(EU)がホストするデータベース
  6. 権利:いつでも情報を制限、回復、削除できます。