Агентство кибербезопасности и инфраструктуры США (CISA) и Киберкомандование береговой охраны США (CGCYBER) объявили через рекомендации по кибербезопасности (CSA), что Уязвимости Log4Shell (CVE-2021-44228) до сих пор эксплуатируются хакерами.
Из хакерских групп, которые были обнаружены которые все еще используют уязвимость это "АПТ" и было обнаружено, что атаковали серверы VMware Horizon и Unified Access Gateway (UAG), чтобы получить первоначальный доступ к организациям, которые не применили доступные исправления.
CSA предоставляет информацию, включая тактику, методы, процедуры и индикаторы компрометации, полученную в результате двух связанных действий по реагированию на инциденты и анализа вредоносных программ образцов, обнаруженных в сетях жертв.
Для тех, кто не знаетe Log4Shell, вы должны знать, что это уязвимость которая впервые появилась в декабре и активно использовала уязвимости найдено в Apache Log4j, который характеризуется как популярный фреймворк для организации логирования в Java-приложениях, позволяющий выполнять произвольный код при записи в реестр специально отформатированного значения в формате «{jndi:URL}».
Уязвимость Это примечательно тем, что атака может быть проведена в приложениях Java, которыеОни записывают значения, полученные из внешних источников, например, отображая проблемные значения в сообщениях об ошибках.
Замечено, что затронуты почти все проекты, использующие такие фреймворки, как Apache Struts, Apache Solr, Apache Druid или Apache Flink, включая клиенты и серверы Steam, Apple iCloud, Minecraft.
В полном предупреждении подробно описывается несколько недавних случаев, когда хакеры успешно использовали уязвимость для получения доступа. По крайней мере, в одном подтвержденном взломе злоумышленники собирали и извлекали конфиденциальную информацию из сети жертвы.
Поиск угроз, проведенный Киберкомандованием береговой охраны США, показывает, что злоумышленники использовали Log4Shell для получения первоначального доступа к сети от неизвестной жертвы. Они загрузили вредоносный файл «hmsvc.exe», который маскируется под утилиту безопасности Microsoft Windows SysInternals LogonSessions.
Исполняемый файл, встроенный в вредоносное ПО, содержит различные возможности, включая регистрацию нажатий клавиш и реализацию дополнительных полезных нагрузок, а также предоставляет графический пользовательский интерфейс для доступа к настольной системе Windows жертвы. По словам агентств, он может функционировать как туннельный прокси-сервер с командным управлением, позволяя удаленному оператору проникать дальше в сеть.
Анализ также показал, что hmsvc.exe работал как локальная системная учетная запись с максимально возможным уровнем привилегий, но не объяснил, как злоумышленники повысили свои привилегии до этого уровня.
CISA и береговая охрана рекомендуют что все организации установить обновленные сборки, чтобы убедиться, что системы VMware Horizon и UAG затронуты запуск последней версии.
В предупреждении добавлено, что организации должны всегда обновлять программное обеспечение и уделять первоочередное внимание исправлению известных эксплуатируемых уязвимостей. Поверхности для атак через Интернет следует свести к минимуму за счет размещения основных служб в сегментированной демилитаризованной зоне.
«Основываясь на количестве серверов Horizon в нашем наборе данных, которые не были исправлены (только 18% были исправлены по состоянию на вечер прошлой пятницы), существует высокий риск того, что это серьезно повлияет на сотни, если не тысячи предприятий. В эти выходные мы также впервые увидели свидетельство широкомасштабной эскалации, начиная с получения первоначального доступа и заканчивая началом враждебных действий на серверах Horizon».
Это обеспечивает строгий контроль доступа к сетевому периметру и не размещает службы с выходом в Интернет, которые не являются необходимыми для бизнес-операций.
CISA и CGCYBER призывают пользователей и администраторов обновить все уязвимые системы VMware Horizon и UAG до последних версий. Если обновления или обходные пути не были применены сразу после выпуска обновлений VMware для Log4Shell, рассматривайте все затронутые системы VMware как скомпрометированные. Дополнительные сведения и дополнительные рекомендации см. в статье Злоумышленники CSA продолжают использовать Log4Shell в системах VMware Horizon.
В конце концов если вам интересно узнать об этом больше, вы можете проверить подробности По следующей ссылке.