A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) e o Comando Cibernético da Guarda Costeira dos EUA (CGCYBER) anunciaram por meio de um conselho de segurança cibernética (CSA) que Vulnerabilidades do Log4Shell (CVE-2021-44228) ainda estão sendo explorados por hackers.
Dos grupos de hackers que foram detectados que ainda estão explorando a vulnerabilidade este "APT" e descobriu-se que estão atacando servidores VMware Horizon e Unified Access Gateway (UAG) para obter acesso inicial a organizações que não aplicaram os patches disponíveis.
O CSA fornece informações, incluindo táticas, técnicas e procedimentos e indicadores de comprometimento, derivados de dois compromissos de resposta a incidentes relacionados e análise de malware de amostras descobertas nas redes das vítimas.
Para quem não sabee Log4Shell, você deve saber que esta é uma vulnerabilidade que surgiu pela primeira vez em dezembro e visava ativamente vulnerabilidades encontrado no Apache Log4j, que é caracterizado como um framework popular para organizar o registro em aplicativos Java, permitindo que código arbitrário seja executado quando um valor especialmente formatado é gravado no registro no formato "{jndi: URL}".
Vulnerabilidade É notável porque o ataque pode ser realizado em aplicativos Java queEles registram valores obtidos de fontes externas, por exemplo, exibindo valores problemáticos em mensagens de erro.
É observado que quase todos os projetos que usam estruturas como Apache Struts, Apache Solr, Apache Druid ou Apache Flink são afetados, incluindo Steam, Apple iCloud, Minecraft clientes e servidores.
O alerta completo detalha vários casos recentes em que hackers exploraram com sucesso a vulnerabilidade para obter acesso. Em pelo menos um comprometimento confirmado, os atores coletaram e extraíram informações confidenciais da rede da vítima.
A pesquisa de ameaças conduzida pelo Cyber Command da Guarda Costeira dos EUA mostra que os agentes de ameaças exploraram o Log4Shell para obter acesso inicial à rede de uma vítima não revelada. Eles carregaram um arquivo de malware “hmsvc.exe.”, que se disfarça como o utilitário de segurança Microsoft Windows SysInternals LogonSessions.
Um executável embutido no malware contém vários recursos, incluindo registro de pressionamento de tecla e implementação de cargas adicionais, e fornece uma interface gráfica de usuário para acessar o sistema de desktop Windows da vítima. Ele pode funcionar como um proxy de encapsulamento de comando e controle, permitindo que um operador remoto alcance mais longe em uma rede, dizem as agências.
A análise também descobriu que o hmsvc.exe estava sendo executado como uma conta do sistema local com o nível de privilégio mais alto possível, mas não explicou como os invasores elevaram seus privilégios a esse ponto.
A CISA e a Guarda Costeira recomendam que todas as organizações instale compilações atualizadas para garantir que os sistemas VMware Horizon e UAG afetados execute a versão mais recente.
O alerta acrescentou que as organizações devem sempre manter o software atualizado e priorizar a correção de vulnerabilidades exploradas conhecidas. As superfícies de ataque voltadas para a Internet devem ser minimizadas hospedando serviços essenciais em uma zona desmilitarizada segmentada.
“Com base no número de servidores Horizon em nosso conjunto de dados que não foram corrigidos (apenas 18% foram corrigidos na noite de sexta-feira passada), há um alto risco de que isso afete seriamente centenas, senão milhares, de negócios. . Este fim de semana também marca a primeira vez que vimos evidências de uma escalada generalizada, desde o acesso inicial até o início de ações hostis nos servidores Horizon.”
Isso garante controles rígidos de acesso ao perímetro da rede e não hospeda serviços voltados para a Internet que não sejam essenciais para as operações de negócios.
A CISA e a CGCYBER incentivam os usuários e administradores a atualizar todos os sistemas VMware Horizon e UAG afetados para as versões mais recentes. Se as atualizações ou soluções alternativas não foram aplicadas imediatamente após o lançamento das atualizações do VMware para Log4Shell , trate todos os sistemas VMware afetados como comprometidos. Consulte CSA Malicious Cyber Actors Continue a Explorar Log4Shell em VMware Horizon Systems para obter mais informações e recomendações adicionais.
Finalmente se você estiver interessado em saber mais sobre isso, você pode verificar os detalhes no link a seguir.