JAV kibernetinio saugumo ir infrastruktūros agentūra (CISA) ir JAV pakrančių apsaugos kibernetinė komanda (CGCYBER) per kibernetinio saugumo patarimą (CSA) paskelbė, kad Log4Shell pažeidžiamumas (CVE-2021-44228) vis dar yra išnaudojami įsilaužėlių.
Iš aptiktų įsilaužėlių grupių kurie vis dar naudojasi pažeidžiamumu šis "APT" ir buvo nustatyta, kad atakavo „VMware Horizon“ serverius ir „Unified Access Gateway“. (UAG), kad gautumėte pradinę prieigą prie organizacijų, kurios nepritaikė galimų pataisų.
CSA pateikia informaciją, įskaitant taktiką, metodus ir procedūras bei kompromiso rodiklius, gautą iš dviejų susijusių reagavimo į incidentus ir aukų tinkluose aptiktų mėginių kenkėjiškų programų analizės.
Nežinantiemse Log4Shell, turėtumėte žinoti, kad tai yra pažeidžiamumas kurie pirmą kartą pasirodė gruodį ir aktyviai buvo nukreipti į pažeidžiamumą rasta „Apache Log4“.j, kuri apibūdinama kaip populiari „Java“ programų registravimo sistema, leidžianti vykdyti savavališką kodą, kai į registrą įrašoma specialiai suformatuota reikšmė „{jndi: URL}“ formatu.
Pažeidžiamumas Tai pastebima, nes ataka gali būti vykdoma Java programose, kuriosJie įrašo vertes, gautas iš išorinių šaltinių, pavyzdžiui, rodydami problemines reikšmes klaidų pranešimuose.
Pastebima, kad paveikiami beveik visi projektai, kuriuose naudojamos tokios sistemos kaip „Apache Struts“, „Apache Solr“, „Apache Druid“ ar „Apache Flink“, įskaitant „Steam“, „Apple iCloud“, „Minecraft“ klientus ir serverius.
Visame įspėjime išsamiai aprašomi keli naujausi atvejai, kai įsilaužėliai sėkmingai pasinaudojo pažeidžiamumu, kad gautų prieigą. Bent viename patvirtintame kompromise aktoriai rinko ir ištraukė slaptą informaciją iš aukos tinklo.
JAV pakrančių apsaugos kibernetinės vadovybės atlikta grėsmių paieška rodo, kad grėsmės veikėjai išnaudojo „Log4Shell“, kad gautų pradinę prieigą prie tinklo iš neatskleistos aukos. Jie įkėlė „hmsvc.exe.“ kenkėjiškos programos failą, kuris pridengtas kaip „Microsoft Windows SysInternals LogonSessions“ saugos priemonė.
Kenkėjiškoje programoje įterptas vykdomasis failas turi įvairių galimybių, įskaitant klaviatūros paspaudimų registravimą ir papildomų naudingųjų apkrovų diegimą, ir suteikia grafinę vartotojo sąsają, leidžiančią pasiekti aukos „Windows“ darbalaukio sistemą. Jis gali veikti kaip komandų ir valdymo tuneliavimo tarpinis serveris, leidžiantis nuotoliniam operatoriui pasiekti toliau tinklą, teigia agentūros.
Analizė taip pat nustatė, kad hmsvc.exe veikė kaip vietinė sistemos paskyra su aukščiausiu įmanomu privilegijų lygiu, tačiau nepaaiškino, kaip užpuolikai padidino savo teises iki tokio lygio.
CISA ir pakrančių apsaugos tarnyba rekomenduoja kad visos organizacijos Įdiekite atnaujintas versijas, kad užtikrintumėte, jog VMware Horizon ir UAG sistemos paveiktas paleiskite naujausią versiją.
Perspėjime priduriama, kad organizacijos turėtų visada atnaujinti programinę įrangą ir teikti pirmenybę žinomų išnaudotų pažeidžiamumų pataisymui. Į internetą nukreiptų atakų paviršius turėtų būti sumažintas priglobiant pagrindines paslaugas segmentuotoje demilitarizuotoje zonoje.
„Remiantis „Horizon“ serverių skaičiumi mūsų duomenų rinkinyje, kurie nėra pataisyti (praeito penktadienio vakarą buvo pataisyta tik 18 proc.), yra didelė rizika, kad tai rimtai paveiks šimtus, jei ne tūkstančius įmonių. Šis savaitgalis taip pat yra pirmas kartas, kai matome plačiai paplitusio eskalavimo įrodymus, pradedant nuo pradinės prieigos gavimo ir pradedant imtis priešiškų veiksmų „Horizon“ serveriuose.
Taip užtikrinama griežta prieigos prie tinklo perimetro kontrolė ir nebus teikiamos į internetą nukreiptos paslaugos, kurios nėra būtinos verslo operacijoms.
CISA ir CGCYBER skatina vartotojus ir administratorius atnaujinti visas paveiktas VMware Horizon ir UAG sistemas į naujausias versijas. Jei naujinimai arba problemos sprendimo būdai nebuvo pritaikyti iš karto po VMware naujinimų, skirtų Log4Shell, išleidimo, laikykite visas paveiktas VMware sistemas kaip pažeistas. Norėdami gauti daugiau informacijos ir papildomų rekomendacijų, žr. CSA kenkėjiški kibernetiniai veikėjai ir toliau naudoja „Log4Shell“ sistemoje „VMware Horizon Systems“.
Pagaliau jei norite sužinoti daugiau apie tai, galite patikrinti išsamią informaciją Šioje nuorodoje.