Het Amerikaanse Cyber Security and Infrastructure Agency (CISA) en de US Coast Guard Cyber Command (CGCYBER) hebben via een cyberbeveiligingsadvies (CSA) aangekondigd dat Log4Shell-kwetsbaarheden (CVE-2021-44228) worden nog steeds uitgebuit door hackers.
Van de hackergroepen die zijn gedetecteerd die nog steeds misbruik maken van de kwetsbaarheid deze "APT" en het is gevonden dat hebben aangevallen op VMware Horizon-servers en Unified Access Gateway (UAG) om de eerste toegang te krijgen tot organisaties die geen beschikbare patches hebben toegepast.
De CSA biedt informatie, waaronder tactieken, technieken en procedures en indicatoren voor compromissen, afgeleid van twee gerelateerde incidentresponsen en malware-analyse van monsters die zijn ontdekt op slachtoffernetwerken.
Voor degenen die het niet wetene Log4Shell, u moet weten dat dit een kwetsbaarheid is die voor het eerst aan de oppervlakte kwam in december en actief gericht op kwetsbaarheden gevonden in Apache Log4j, dat wordt gekenmerkt als een populair raamwerk voor het organiseren van logboekregistratie in Java-toepassingen, waardoor willekeurige code kan worden uitgevoerd wanneer een speciaal opgemaakte waarde naar het register wordt geschreven in het formaat "{jndi: URL}".
Kwetsbaarheid Het is opmerkelijk omdat de aanval kan worden uitgevoerd in Java-toepassingen die:Ze registreren waarden verkregen uit externe bronnen, bijvoorbeeld door problematische waarden weer te geven in foutmeldingen.
Opgemerkt wordt dat bijna alle projecten die frameworks gebruiken zoals Apache Struts, Apache Solr, Apache Druid of Apache Flink worden beïnvloed, inclusief Steam, Apple iCloud, Minecraft-clients en servers.
De volledige waarschuwing beschrijft verschillende recente gevallen waarin hackers met succes het beveiligingslek hebben misbruikt om toegang te krijgen. In ten minste één bevestigd compromis hebben de actoren gevoelige informatie verzameld en geëxtraheerd uit het netwerk van het slachtoffer.
Dreigingsonderzoek uitgevoerd door de US Coast Guard Cyber Command toont aan dat bedreigingsactoren Log4Shell hebben misbruikt om initiële netwerktoegang te krijgen van een niet nader genoemd slachtoffer. Ze hebben een malwarebestand "hmsvc.exe." geüpload, dat zich voordoet als het beveiligingshulpprogramma SysInternals LogonSessions van Microsoft Windows.
Een uitvoerbaar bestand dat in de malware is ingebed, bevat verschillende mogelijkheden, waaronder toetsaanslagregistratie en implementatie van extra payloads, en biedt een grafische gebruikersinterface om toegang te krijgen tot het Windows-desktopsysteem van het slachtoffer. Het kan fungeren als een command-and-control tunneling-proxy, waardoor een externe operator verder in een netwerk kan reiken, zeggen de bureaus.
Uit de analyse bleek ook dat hmsvc.exe werd uitgevoerd als een lokaal systeemaccount met het hoogst mogelijke privilegeniveau, maar er werd niet uitgelegd hoe de aanvallers hun privileges tot dat punt hadden verhoogd.
CISA en de kustwacht bevelen aan dat alle organisaties installeer bijgewerkte builds om ervoor te zorgen dat VMware Horizon- en UAG-systemen getroffen voer de nieuwste versie uit.
De waarschuwing voegde eraan toe dat organisaties de software altijd up-to-date moeten houden en prioriteit moeten geven aan het patchen van bekende misbruikte kwetsbaarheden. Op het internet gerichte aanvalsoppervlakken moeten worden geminimaliseerd door essentiële services te hosten in een gesegmenteerde gedemilitariseerde zone.
"Op basis van het aantal Horizon-servers in onze dataset dat niet is gepatcht (slechts 18% is gepatcht op afgelopen vrijdagavond), is er een groot risico dat dit honderden, zo niet duizenden bedrijven ernstig zal treffen. . Dit weekend is ook de eerste keer dat we bewijs hebben gezien van wijdverbreide escalatie, gaande van het verkrijgen van eerste toegang tot het ondernemen van vijandige actie op Horizon-servers."
Dit zorgt voor strikte toegangscontroles tot de netwerkperimeter en host geen internetgerichte services die niet essentieel zijn voor de bedrijfsvoering.
CISA en CGCYBER moedigen gebruikers en beheerders aan om alle betrokken VMware Horizon- en UAG-systemen bij te werken naar de nieuwste versies. Als de updates of tijdelijke oplossingen niet onmiddellijk na de release van VMware-updates voor Log4Shell zijn toegepast, behandel dan alle getroffen VMware-systemen als gecompromitteerd. Zie CSA Malicious Cyber Actors blijven Log4Shell exploiteren op VMware Horizon Systems voor meer informatie en aanvullende aanbevelingen.
Eindelijk als u er meer over wilt weten, kunt u de details bekijken In de volgende link.