해커, VMware Horizon 시스템의 Log4Shell 취약성 계속 악용

Darkcrizt

4 분

미국 사이버보안기반시설청(CISA)과 미 해안경비대 사이버사령부(CGCYBER)는 사이버보안자문단(CSA)을 통해 다음과 같이 밝혔다. Log4Shell 취약점 (CVE-2021-44228) 여전히 해커들에게 악용되고 있습니다.

탐지된 해커 그룹 중 여전히 취약점을 악용하는 사람 이 "APT" 그리고 그것이 발견되었다 VMware Horizon 서버 및 Unified Access Gateway에 대한 공격 (UAG) 사용 가능한 패치를 적용하지 않은 조직에 대한 초기 액세스 권한을 얻습니다.

CSA는 피해 네트워크에서 발견된 샘플의 맬웨어 분석과 두 가지 관련 사고 대응 계약에서 파생된 전술, 기술, 절차 및 침해 지표를 포함한 정보를 제공합니다.

관련 기사 :
많은 Java 프로젝트에 영향을 미치는 Apache Log4j 4의 치명적인 취약점인 Log2Shell

모르시는 분들을 위해e Log4Shell, 이것이 취약점이라는 것을 알아야 합니다. XNUMX월에 처음 등장했으며 적극적으로 취약점을 표적으로 삼았습니다. Apache Log4에서 발견j는 특수 형식의 값이 "{jndi: URL}" 형식으로 레지스트리에 기록될 때 임의의 코드가 실행되도록 허용하는 Java 애플리케이션의 로깅 구성을 위한 인기 있는 프레임워크로 특징지어집니다.

취약점 공격이 자바 애플리케이션에서 수행될 수 있기 때문에 주목할 만하다.예를 들어 오류 메시지에 문제가 있는 값을 표시하여 외부 소스에서 얻은 값을 기록합니다.

관찰되는 것은 Apache Struts, Apache Solr, Apache Druid 또는 Apache Flink와 같은 프레임워크를 사용하는 거의 모든 프로젝트가 영향을 받습니다. Steam, Apple iCloud, Minecraft 클라이언트 및 서버를 포함합니다.

전체 경고는 해커가 액세스 권한을 얻기 위해 취약점을 성공적으로 악용한 최근 몇 가지 사례를 자세히 설명합니다. 적어도 하나의 확인된 침해에서 공격자는 피해자의 네트워크에서 민감한 정보를 수집하고 추출했습니다.

미 해안경비대 사이버사령부가 수행한 위협 검색에 따르면 위협 ​​행위자는 Log4Shell을 악용하여 공개되지 않은 피해자로부터 초기 네트워크 액세스 권한을 얻었습니다. 그들은 Microsoft Windows SysInternals LogonSessions 보안 유틸리티로 가장하는 "hmsvc.exe." 멀웨어 파일을 업로드했습니다.

멀웨어에 포함된 실행 파일에는 키 입력 로깅 및 추가 페이로드 구현을 비롯한 다양한 기능이 포함되어 있으며 피해자의 Windows 데스크톱 시스템에 액세스할 수 있는 그래픽 사용자 인터페이스를 제공합니다. 이것은 명령 및 제어 터널링 프록시로 기능할 수 있어 원격 운영자가 네트워크에 더 깊이 도달할 수 있도록 합니다.

분석은 또한 hmsvc.exe가 가능한 가장 높은 권한 수준을 가진 로컬 시스템 계정으로 실행되고 있음을 발견했지만 공격자가 어떻게 그 지점까지 권한을 상승시켰는지 설명하지 않았습니다.

CISA 및 해안경비대 권장 모든 조직이 VMware Horizon 및 UAG 시스템이 영향을 받는 사람은 최신 버전을 실행합니다.

이 경고는 조직이 항상 소프트웨어를 최신 상태로 유지하고 알려진 악용 취약점 패치에 우선 순위를 두어야 한다고 덧붙였습니다. 분할된 비무장 지대에서 필수 서비스를 호스팅하여 인터넷을 향한 공격 표면을 최소화해야 합니다.

"패치되지 않은 데이터 세트의 Horizon 서버 수(지난 금요일 밤 현재 18%만 패치됨)를 기반으로 하면 수천은 아닐지라도 수백 개의 기업에 심각한 영향을 미칠 위험이 높습니다. . 이번 주말은 또한 Horizon 서버에 대한 초기 액세스 권한을 획득하는 것부터 시작하여 적대적인 행동을 취하기 시작하는 광범위한 확대의 증거를 목격한 첫 번째 날이기도 합니다."

이렇게 하면 네트워크 경계에 대한 엄격한 액세스 제어가 보장되고 비즈니스 운영에 필수적이지 않은 인터넷 연결 서비스는 호스팅되지 않습니다.

CISA 및 CGCYBER는 사용자와 관리자가 영향을 받는 모든 VMware Horizon 및 UAG 시스템을 최신 버전으로 업데이트할 것을 권장합니다. Log4Shell용 VMware 업데이트 릴리스 직후에 업데이트 또는 해결 방법이 적용되지 않은 경우 영향을 받는 모든 VMware 시스템을 손상된 것으로 처리합니다. 자세한 내용과 추가 권장 사항은 CSA 악성 사이버 공격자가 VMware Horizon 시스템에서 Log4Shell을 계속 악용함을 참조하십시오.

최종적으로 그것에 대해 더 많이 알고 싶다면, 당신은 세부 사항을 확인할 수 있습니다 다음 링크에서.


코멘트를 남겨주세요

귀하의 이메일 주소는 공개되지 않습니다. 필수 필드가 표시되어 있습니다 *

*

*

  1. 데이터 책임자 : Miguel Ángel Gatón
  2. 데이터의 목적 : 스팸 제어, 댓글 관리.
  3. 합법성 : 귀하의 동의
  4. 데이터 전달 : 법적 의무에 의한 경우를 제외하고 데이터는 제 XNUMX 자에게 전달되지 않습니다.
  5. 데이터 저장소 : Occentus Networks (EU)에서 호스팅하는 데이터베이스
  6. 권리 : 귀하는 언제든지 귀하의 정보를 제한, 복구 및 삭제할 수 있습니다.