Amerykańska Agencja ds. Bezpieczeństwa i Infrastruktury Cybernetycznej (CISA) oraz Dowództwo Cybernetyczne Straży Wybrzeża USA (CGCYBER) ogłosiły za pośrednictwem doradcy ds. bezpieczeństwa cybernetycznego (CSA), że Luki w Log4Shell (CVE-2021-44228) nadal są wykorzystywane przez hakerów.
Z wykrytych grup hakerów którzy nadal wykorzystują tę lukę ten "APT" i stwierdzono, że atakują na serwery VMware Horizon i Unified Access Gateway (UAG), aby uzyskać wstępny dostęp do organizacji, które nie zastosowały dostępnych poprawek.
CSA dostarcza informacje, w tym taktyki, techniki i procedury oraz wskaźniki narażenia na niebezpieczeństwo, pochodzące z dwóch powiązanych reakcji na incydenty i analizy złośliwego oprogramowania próbek wykrytych w sieciach ofiar.
Dla tych, którzy nie wiedząe Log4Shell, powinieneś wiedzieć, że jest to luka które pojawiły się po raz pierwszy w grudniu i aktywnie atakowały luki znalezione w Apache Log4j, który charakteryzuje się jako popularny framework do organizowania logowania w aplikacjach Java, pozwalający na wykonanie dowolnego kodu po zapisaniu do rejestru specjalnie sformatowanej wartości w formacie „{jndi:URL}”.
Słaby punkt Jest to godne uwagi, ponieważ atak można przeprowadzić w aplikacjach Java, które:Rejestrują wartości pozyskane ze źródeł zewnętrznych, na przykład wyświetlając problematyczne wartości w komunikatach o błędach.
Zauważono, że dotyczy to prawie wszystkich projektów korzystających z frameworków takich jak Apache Struts, Apache Solr, Apache Druid czy Apache Flink, w tym klienci i serwery Steam, Apple iCloud, Minecraft.
Pełny alert zawiera opis kilku ostatnich przypadków, w których hakerzy z powodzeniem wykorzystali lukę w zabezpieczeniach, aby uzyskać dostęp. W co najmniej jednym potwierdzonym kompromisie aktorzy zebrali i wydobyli poufne informacje z sieci ofiary.
Poszukiwanie zagrożeń przeprowadzone przez cybernetyczne dowództwo straży przybrzeżnej USA pokazuje, że cyberprzestępcy wykorzystali Log4Shell, aby uzyskać wstępny dostęp do sieci od nieujawnionej ofiary. Przesłali plik złośliwego oprogramowania „hmsvc.exe”, który podszywa się pod narzędzie zabezpieczające Microsoft Windows SysInternals LogonSessions.
Plik wykonywalny osadzony w złośliwym oprogramowaniu zawiera różne możliwości, w tym rejestrowanie naciśnięć klawiszy i implementację dodatkowych ładunków, a także zapewnia graficzny interfejs użytkownika umożliwiający dostęp do systemu Windows ofiary. Agencje twierdzą, że może działać jako serwer proxy tunelowania dowodzenia i kontroli, umożliwiając zdalnemu operatorowi dotarcie do większej liczby sieci.
Analiza wykazała również, że hmsvc.exe działał jako lokalne konto systemowe z najwyższym możliwym poziomem uprawnień, ale nie wyjaśniła, w jaki sposób osoby atakujące podniosły swoje uprawnienia do tego punktu.
CISA i Straż Przybrzeżna polecają że wszystkie organizacje zainstaluj zaktualizowane kompilacje, aby zapewnić, że systemy VMware Horizon i UAG dotyczy to uruchomienia najnowszej wersji.
Alert dodał, że organizacje powinny zawsze aktualizować oprogramowanie i priorytetowo traktować łatanie znanych wykorzystywanych luk w zabezpieczeniach. Powierzchnie ataków w Internecie należy zminimalizować, udostępniając podstawowe usługi w podzielonej na segmenty strefie zdemilitaryzowanej.
„Biorąc pod uwagę liczbę serwerów Horizon w naszym zestawie danych, które nie zostały załatane (tylko 18% zostało załatanych na ostatnią piątkową noc), istnieje duże ryzyko, że wpłynie to poważnie na setki, jeśli nie tysiące, firm. W ten weekend po raz pierwszy widzieliśmy również dowody powszechnej eskalacji, od uzyskania wstępnego dostępu do rozpoczęcia wrogich działań na serwerach Horizon”.
W ten sposób zapewnia się ścisłą kontrolę dostępu do granic sieci i nie obsługuje usług internetowych, które nie są niezbędne do prowadzenia działalności biznesowej.
CISA i CGCYBER zachęcają użytkowników i administratorów do aktualizacji wszystkich systemów VMware Horizon i UAG, których dotyczy problem, do najnowszych wersji. Jeśli aktualizacje lub obejścia nie zostały zastosowane natychmiast po wydaniu aktualizacji VMware dla Log4Shell , potraktuj wszystkie systemy VMware, których dotyczy problem, jako zagrożone. Zobacz CSA Malicious Cyber Actors nadal wykorzystują Log4Shell w VMware Horizon Systems, aby uzyskać więcej informacji i dodatkowe zalecenia.
W końcu jeśli chcesz dowiedzieć się więcej na ten tematmożesz sprawdzić szczegóły W poniższym linku.