यूएस सायबर सिक्युरिटी अँड इन्फ्रास्ट्रक्चर एजन्सी (सीआयएसए) आणि यूएस कोस्ट गार्ड सायबर कमांड (सीजीसीवायबीईआर) यांनी सायबर सुरक्षा सल्लागार (सीएसए) द्वारे जाहीर केले की Log4Shell भेद्यता (CVE-2021-44228) हॅकर्सकडून अजूनही शोषण केले जात आहे.
जे हॅकर गट सापडले आहेत जे अजूनही असुरक्षिततेचे शोषण करत आहेत हे "एपीटी" आणि असे आढळून आले आहे VMware Horizon सर्व्हर आणि युनिफाइड ऍक्सेस गेटवेवर हल्ला केला आहे (यूएजी) ज्या संस्थांनी उपलब्ध पॅच लागू केले नाहीत त्यांना प्रारंभिक प्रवेश मिळवण्यासाठी.
CSA माहिती प्रदान करते, ज्यामध्ये युक्ती, तंत्र आणि कार्यपद्धती आणि तडजोडीचे सूचक, दोन संबंधित घटना प्रतिसाद प्रतिबद्धता आणि पीडित नेटवर्कवर सापडलेल्या नमुन्यांच्या मालवेअर विश्लेषणातून घेतलेले असतात.
ज्यांना माहित नाही त्यांच्यासाठीe Log4Shell, तुम्हाला हे माहित असले पाहिजे की ही एक असुरक्षा आहे जे पहिल्यांदा डिसेंबरमध्ये समोर आले आणि सक्रियपणे असुरक्षा लक्ष्यित केले Apache Log4 मध्ये आढळलेj, जे Java ऍप्लिकेशन्समध्ये लॉगिंग आयोजित करण्यासाठी एक लोकप्रिय फ्रेमवर्क म्हणून वैशिष्ट्यीकृत आहे, जेव्हा "{jndi: URL}" फॉरमॅटमध्ये रेजिस्ट्रीमध्ये विशेष स्वरूपित मूल्य लिहिले जाते तेव्हा अनियंत्रित कोड अंमलात आणण्याची परवानगी देते.
असुरक्षितता हे लक्षणीय आहे कारण हल्ला जावा ऍप्लिकेशन्समध्ये केला जाऊ शकतोते बाह्य स्त्रोतांकडून प्राप्त केलेली मूल्ये रेकॉर्ड करतात, उदाहरणार्थ त्रुटी संदेशांमध्ये समस्याप्रधान मूल्ये प्रदर्शित करून.
ते पाळले जाते Apache Struts, Apache Solr, Apache Druid किंवा Apache Flink सारखे फ्रेमवर्क वापरणारे जवळजवळ सर्व प्रकल्प प्रभावित झाले आहेत, स्टीम, Apple iCloud, Minecraft क्लायंट आणि सर्व्हरचा समावेश आहे.
संपूर्ण अलर्टमध्ये अलीकडील अनेक प्रकरणांचा तपशील आहे जेथे हॅकर्सने प्रवेश मिळवण्याच्या असुरक्षिततेचा यशस्वीपणे उपयोग केला आहे. किमान एक पुष्टी झालेल्या तडजोडीमध्ये, कलाकारांनी पीडितेच्या नेटवर्कमधून संवेदनशील माहिती गोळा केली आणि काढली.
यूएस कोस्ट गार्ड सायबर कमांडने घेतलेल्या थ्रेट सर्चमध्ये असे दिसून आले आहे की धमकी देणार्या कलाकारांनी अज्ञात पीडिताकडून प्रारंभिक नेटवर्क प्रवेश मिळविण्यासाठी Log4Shell चा वापर केला. त्यांनी "hmsvc.exe." मालवेअर फाइल अपलोड केली, जी Microsoft Windows SysInternals LogonSessions सुरक्षा उपयुक्तता म्हणून मास्करेड करते.
मालवेअरमध्ये एम्बेड केलेल्या एक्झिक्युटेबलमध्ये कीस्ट्रोक लॉगिंग आणि अतिरिक्त पेलोड्सच्या अंमलबजावणीसह विविध क्षमता असतात आणि पीडिताच्या विंडोज डेस्कटॉप सिस्टममध्ये प्रवेश करण्यासाठी ग्राफिकल वापरकर्ता इंटरफेस प्रदान करते. हे कमांड-आणि-कंट्रोल टनेलिंग प्रॉक्सी म्हणून कार्य करू शकते, ज्यामुळे रिमोट ऑपरेटरला नेटवर्कमध्ये आणखी पोहोचता येते, एजन्सी म्हणतात.
विश्लेषणात असेही आढळून आले की hmsvc.exe हे स्थानिक सिस्टीम खाते म्हणून उच्च संभाव्य विशेषाधिकार स्तरावर चालत आहे, परंतु हल्लेखोरांनी त्यांचे विशेषाधिकार त्या बिंदूपर्यंत कसे वाढवले हे स्पष्ट केले नाही.
सीआयएसए आणि कोस्ट गार्ड शिफारस करतात की सर्व संस्था व्हीएमवेअर होरायझन आणि यूएजी सिस्टीम आहेत याची खात्री करण्यासाठी अद्ययावत बिल्ड स्थापित करा प्रभावित नवीनतम आवृत्ती चालवा.
अॅलर्ट जोडले आहे की संस्थांनी नेहमीच सॉफ्टवेअर अद्ययावत ठेवावे आणि ज्ञात शोषित असुरक्षा पॅचिंगला प्राधान्य द्यावे. सेगमेंटेड डिमिलिटराइज्ड झोनमध्ये अत्यावश्यक सेवा होस्ट करून इंटरनेट-फेसिंग अटॅक पृष्ठभाग कमी केले पाहिजेत.
“आमच्या डेटा सेटमधील हॉरायझन सर्व्हरच्या संख्येवर आधारित जे पॅच केलेले नाहीत (केवळ 18% गेल्या शुक्रवारी रात्रीपर्यंत पॅच केले गेले होते), यामुळे शेकडो, हजारो नव्हे तर व्यवसायांवर गंभीरपणे परिणाम होण्याचा उच्च धोका आहे. . या शनिवार व रविवार देखील आम्ही प्रथमच मोठ्या प्रमाणावर वाढीचा पुरावा पाहिला आहे, जो प्रारंभिक प्रवेश मिळवण्यापासून होरायझन सर्व्हरवर प्रतिकूल कारवाई करण्यास सुरवात करतो."
असे केल्याने नेटवर्क परिमितीवर कठोर प्रवेश नियंत्रणे सुनिश्चित होतात आणि व्यवसाय ऑपरेशन्ससाठी आवश्यक नसलेल्या इंटरनेट-फेसिंग सेवा होस्ट करत नाहीत.
CISA आणि CGCYBER वापरकर्ते आणि प्रशासकांना सर्व प्रभावित VMware Horizon आणि UAG प्रणाली नवीनतम आवृत्त्यांमध्ये अद्यतनित करण्यासाठी प्रोत्साहित करतात. Log4Shell साठी VMware अद्यतने रिलीज झाल्यानंतर लगेच अपडेट्स किंवा वर्कअराउंड्स लागू केले नसल्यास, सर्व प्रभावित VMware सिस्टीमला तडजोड समजा. अधिक माहिती आणि अतिरिक्त शिफारशींसाठी VMware Horizon Systems वर Log4Shell चे शोषण करणे सुरू ठेवा CSA दुर्भावनायुक्त सायबर अॅक्टर्स पहा.
शेवटी आपल्याला त्याबद्दल अधिक जाणून घेण्यात स्वारस्य असल्यास, आपण तपशील तपासू शकता पुढील लिंकवर.