US Cyber Security and Infrastructure Agency (CISA) og US Coast Guard Cyber Command (CGCYBER) kunngjorde gjennom en cybersikkerhetsrådgivning (CSA) at Log4Shell-sårbarheter (CVE-2021-44228) blir fortsatt utnyttet av hackere.
Av hackergruppene som er oppdaget som fortsatt utnytter sårbarheten denne "APT" og det har blitt funnet har angrepet VMware Horizon-servere og Unified Access Gateway (UAG) for å få innledende tilgang til organisasjoner som ikke har brukt tilgjengelige patcher.
CSA gir informasjon, inkludert taktikk, teknikker og prosedyrer og indikatorer på kompromiss, utledet fra to relaterte hendelsesrespons-engasjementer og malware-analyse av prøver oppdaget på offernettverk.
For de som ikke vete Log4Shell, bør du vite at dette er en sårbarhet som først dukket opp i desember og aktivt målrettet sårbarheter funnet i Apache Log4j, som er karakterisert som et populært rammeverk for organisering av logging i Java-applikasjoner, slik at vilkårlig kode kan utføres når en spesielt formatert verdi skrives til registeret i formatet "{jndi: URL}".
Sårbarhet Det er bemerkelsesverdig fordi angrepet kan utføres i Java-applikasjoner somDe registrerer verdier hentet fra eksterne kilder, for eksempel ved å vise problematiske verdier i feilmeldinger.
Det observeres at nesten alle prosjekter som bruker rammeverk som Apache Struts, Apache Solr, Apache Druid eller Apache Flink er berørt, inkludert Steam, Apple iCloud, Minecraft klienter og servere.
Det fullstendige varselet beskriver flere nylige tilfeller der hackere har utnyttet sårbarheten for å få tilgang. I minst ett bekreftet kompromiss samlet aktørene inn og hentet ut sensitiv informasjon fra offerets nettverk.
Trusselsøk utført av US Coast Guard Cyber Command viser at trusselaktører utnyttet Log4Shell for å få første nettverkstilgang fra et ukjent offer. De lastet opp en "hmsvc.exe."-malwarefil, som maskerer seg som Microsoft Windows SysInternals LogonSessions sikkerhetsverktøy.
En kjørbar innebygd programvare inneholder ulike funksjoner, inkludert tastetrykklogging og implementering av ekstra nyttelast, og gir et grafisk brukergrensesnitt for å få tilgang til offerets Windows-skrivebordssystem. Den kan fungere som en kommando-og-kontroll tunneling proxy, slik at en ekstern operatør kan nå lenger inn i et nettverk, sier byråene.
Analysen fant også at hmsvc.exe kjørte som en lokal systemkonto med høyest mulig privilegienivå, men forklarte ikke hvordan angriperne hevet privilegiene sine til det punktet.
CISA og kystvakten anbefaler at alle organisasjoner installere oppdaterte bygg for å sikre at VMware Horizon og UAG-systemer berørte kjøre den nyeste versjonen.
Varselet la til at organisasjoner alltid bør holde programvare oppdatert og prioritere å lappe kjente utnyttede sårbarheter. Internett-vendte angrepsflater bør minimeres ved å være vert for viktige tjenester i en segmentert demilitarisert sone.
"Basert på antallet Horizon-servere i datasettet vårt som ikke er lappet (bare 18 % ble lappet fra forrige fredag kveld), er det en høy risiko for at dette vil alvorlig påvirke hundrevis, om ikke tusenvis, av virksomheter. . Denne helgen er også første gang vi har sett bevis på omfattende eskalering, fra å få første tilgang til å begynne å iverksette fiendtlige handlinger på Horizon-servere."
Å gjøre det sikrer strenge tilgangskontroller til nettverksperimeteren og er ikke vert for Internett-vendte tjenester som ikke er avgjørende for forretningsdrift.
CISA og CGCYBER oppfordrer brukere og administratorer til å oppdatere alle berørte VMware Horizon- og UAG-systemer til de nyeste versjonene. Hvis oppdateringene eller løsningene ikke ble tatt i bruk umiddelbart etter utgivelsen av VMware-oppdateringer for Log4Shell, behandle alle berørte VMware-systemer som kompromitterte. Se CSA Malicious Cyber Actors fortsetter å utnytte Log4Shell på VMware Horizon Systems for mer informasjon og ytterligere anbefalinger.
Endelig hvis du er interessert i å vite mer om det, kan du sjekke detaljene I den følgende lenken.