Agenția SUA pentru Securitate și Infrastructură cibernetică (CISA) și Comandamentul cibernetic al Gărzii de Coastă din SUA (CGCYBER) au anunțat printr-un aviz de securitate cibernetică (CSA) că Vulnerabilități Log4Shell (CVE-2021-44228) sunt încă exploatate de hackeri.
Dintre grupurile de hackeri care au fost detectate care încă exploatează vulnerabilitatea acest "APT" si s-a constatat ca au atacat serverele VMware Horizon și Unified Access Gateway (UAG) pentru a obține acces inițial la organizațiile care nu au aplicat corecțiile disponibile.
CSA furnizează informații, inclusiv tactici, tehnici și proceduri și indicatori de compromis, derivate din două angajamente legate de răspuns la incident și analize de malware a eșantioanelor descoperite în rețelele victimelor.
Pentru cei care nu stiue Log4Shell, ar trebui să știți că aceasta este o vulnerabilitate care a apărut pentru prima dată în decembrie și a vizat în mod activ vulnerabilitățile găsit în Apache Log4j, care este caracterizat ca un cadru popular pentru organizarea înregistrării în aplicațiile Java, permițând executarea unui cod arbitrar atunci când o valoare formatată special este scrisă în registru în formatul „{jndi: URL}”.
Vulnerabilitate Este notabil deoarece atacul poate fi efectuat în aplicații Java careAcestea înregistrează valorile obținute din surse externe, de exemplu prin afișarea valorilor problematice în mesajele de eroare.
Se observă că aproape toate proiectele care folosesc cadre precum Apache Struts, Apache Solr, Apache Druid sau Apache Flink sunt afectate, inclusiv Steam, Apple iCloud, clienți și servere Minecraft.
Alerta completă detaliază câteva cazuri recente în care hackerii au exploatat cu succes vulnerabilitatea pentru a obține acces. În cel puțin un compromis confirmat, actorii au colectat și extras informații sensibile din rețeaua victimei.
Căutarea amenințărilor efectuată de către US Coast Guard Cyber Command arată că actorii amenințărilor au exploatat Log4Shell pentru a obține acces inițial la rețea de la o victimă nedezvăluită. Ei au încărcat un fișier malware „hmsvc.exe”, care se preface ca utilitarul de securitate Microsoft Windows SysInternals LogonSessions.
Un executabil încorporat în malware conține diverse capabilități, inclusiv înregistrarea apăsării tastelor și implementarea de încărcături suplimentare și oferă o interfață grafică de utilizator pentru a accesa sistemul desktop Windows al victimei. Poate funcționa ca un proxy de tunel de comandă și control, permițând unui operator de la distanță să ajungă mai departe într-o rețea, spun agențiile.
Analiza a mai constatat că hmsvc.exe rula ca un cont de sistem local cu cel mai înalt nivel de privilegii posibil, dar nu a explicat modul în care atacatorii și-au ridicat privilegiile până la acel punct.
CISA și Garda de Coastă recomandă că toate organizaţiile instalați versiuni actualizate pentru a vă asigura că sistemele VMware Horizon și UAG afectate rulează cea mai recentă versiune.
Alerta a adăugat că organizațiile ar trebui să păstreze întotdeauna software-ul la zi și să acorde prioritate corecțiilor vulnerabilităților exploatate cunoscute. Suprafețele de atac orientate spre internet ar trebui reduse la minimum prin găzduirea de servicii esențiale într-o zonă demilitarizată segmentată.
„Pe baza numărului de servere Horizon din setul nostru de date care nu sunt corecţionate (doar 18% au fost corecţionate de vineri seara trecută), există un risc mare ca acest lucru să afecteze serios sute, dacă nu mii, de companii. Weekendul acesta marchează, de asemenea, prima dată când am văzut dovezi ale unei escalade pe scară largă, mergând de la obținerea accesului inițial până la începutul acțiunii ostile pe serverele Horizon.”
Acest lucru asigură controale stricte de acces la perimetrul rețelei și nu găzduiește servicii orientate către Internet care nu sunt esențiale pentru operațiunile de afaceri.
CISA și CGCYBER încurajează utilizatorii și administratorii să actualizeze toate sistemele VMware Horizon și UAG afectate la cele mai recente versiuni. Dacă actualizările sau soluțiile nu au fost aplicate imediat după lansarea actualizărilor VMware pentru Log4Shell , tratați toate sistemele VMware afectate ca fiind compromise. Consultați CSA Malicious Cyber Actors continuă să exploateze Log4Shell pe sistemele VMware Horizon pentru mai multe informații și recomandări suplimentare.
În cele din urmă dacă sunteți interesat să aflați mai multe despre asta, puteți verifica detaliile În următorul link.