Badan Keamanan lan Infrastruktur Siber AS (CISA) lan Komando Siber Pengawal Pantai AS (CGCYBER) ngumumake liwat penasihat keamanan siber (CSA) sing Kerentanan Log4Shell (CVE-2021-44228) isih dieksploitasi dening peretas.
Saka klompok hacker sing wis dideteksi sing isih ngeksploitasi kerentanan iki "APT" lan wis ketemu sing wis nyerang ing server VMware Horizon lan Unified Access Gateway (UAG) kanggo entuk akses awal menyang organisasi sing durung ngetrapake patch sing kasedhiya.
CSA nyedhiyakake informasi, kalebu taktik, teknik, lan prosedur lan indikator kompromi, sing asale saka rong keterlibatan respon insiden sing gegandhengan lan analisis malware saka conto sing ditemokake ing jaringan korban.
Kanggo sing ora ngertie Log4Shell, sampeyan kudu ngerti manawa iki kerentanan sing pisanan muncul ing Desember lan kanthi aktif nargetake kerentanan ditemokake ing Apache Log4j, sing ditondoi minangka kerangka populer kanggo ngatur logging ing aplikasi Java, ngidini kode sewenang-wenang dieksekusi nalika nilai format khusus ditulis ing registri kanthi format "{jndi: URL}".
Kerentanan Iku kacathet amarga serangan bisa digawa metu ing aplikasi Java singDheweke ngrekam nilai sing dipikolehi saka sumber eksternal, umpamane kanthi nampilake nilai masalah ing pesen kesalahan.
Ditliti yen meh kabeh proyek sing nggunakake kerangka kaya Apache Struts, Apache Solr, Apache Druid utawa Apache Flink kena pengaruh, kalebu Steam, Apple iCloud, klien lan server Minecraft.
Tandha lengkap rincian sawetara kasus anyar ing ngendi peretas wis sukses ngeksploitasi kerentanan kanggo entuk akses. Ing paling ora siji kompromi dikonfirmasi, aktor diklumpukake lan dijupuk informasi sensitif saka jaringan korban.
Panelusuran ancaman sing ditindakake dening US Coast Guard Cyber Command nuduhake manawa aktor ancaman ngeksploitasi Log4Shell kanggo entuk akses jaringan awal saka korban sing ora dingerteni. Dheweke ngunggah file malware "hmsvc.exe.", sing masquerades minangka sarana keamanan Microsoft Windows SysInternals LogonSessions.
Eksekusi sing dipasang ing malware ngemot macem-macem kapabilitas, kalebu logging keystroke lan implementasi muatan tambahan, lan menehi antarmuka pangguna grafis kanggo ngakses sistem desktop Windows korban. Bisa digunakake minangka proxy tunneling command-and-control, ngidini operator remot bisa nyedhaki jaringan, ujare agensi kasebut.
Analisis kasebut uga nemokake manawa hmsvc.exe mlaku minangka akun sistem lokal kanthi tingkat hak istimewa sing paling dhuwur, nanging ora nerangake carane para panyerang ngunggahake hak istimewa menyang titik kasebut.
CISA lan Coast Guard nyaranake sing kabeh organisasi nginstal nganyari mbangun kanggo mesthekake yen VMware Horizon lan sistem UAG kena pengaruh mbukak versi paling anyar.
Tandha kasebut nambahake manawa organisasi kudu tansah nganyari piranti lunak lan menehi prioritas kanggo ngrampungake kerentanan sing dieksploitasi. Permukaan serangan sing ngadhepi Internet kudu diminimalisir kanthi hosting layanan penting ing zona demiliterisasi sing dipérang.
"Adhedhasar jumlah server Horizon ing set data kita sing ora ditambal (mung 18% sing ditambal ing dina Jumuah pungkasan), ana risiko dhuwur yen iki bakal nyebabake atusan, yen ora ewu, bisnis. . Akhir minggu iki uga nandhani sepisanan kita ndeleng bukti eskalasi sing nyebar, wiwit entuk akses awal nganti miwiti tumindak musuhan ing server Horizon.
Mengkono njamin kontrol akses sing ketat menyang perimeter jaringan lan ora dadi tuan rumah layanan sing madhep Internet sing ora penting kanggo operasi bisnis.
CISA lan CGCYBER nyengkuyung pangguna lan pangurus supaya nganyari kabeh sistem VMware Horizon lan UAG sing kena pengaruh menyang versi paling anyar. Yen nganyari utawa solusi ora ditrapake sanalika sawise nganyari VMware kanggo Log4Shell, anggep kabeh sistem VMware sing kena pengaruh minangka kompromi. Waca CSA Malicious Cyber Actors Continue to Exploit Log4Shell on VMware Horizon Systems kanggo informasi luwih lengkap lan rekomendasi tambahan.
Pungkasan yen sampeyan kepengin ngerti babagan iki, sampeyan bisa mriksa rinciane Ing link ing ngisor iki.
Dadi pisanan komentar