Americká agentúra pre kybernetickú bezpečnosť a infraštruktúru (CISA) a kybernetické velenie pobrežnej stráže USA (CGCYBER) oznámili prostredníctvom poradenstva pre kybernetickú bezpečnosť (CSA), že Zraniteľnosť Log4Shell (CVE-2021-44228) sú stále využívané hackermi.
Zo skupín hackerov, ktoré boli zistené ktorí túto zraniteľnosť stále využívajú tento "APT" a zistilo sa, že útočili na servery VMware Horizon a Unified Access Gateway (UAG), aby ste získali počiatočný prístup k organizáciám, ktoré nepoužili dostupné opravy.
CSA poskytuje informácie, vrátane taktiky, techník a postupov a indikátorov kompromisu, odvodené z dvoch súvisiacich reakcií na incidenty a analýzy malvéru vzoriek objavených v sieťach obetí.
Pre tých, ktorí nevediae Log4Shell, mali by ste vedieť, že ide o zraniteľnosť ktorý sa prvýkrát objavil v decembri a aktívne sa zameral na zraniteľné miesta nájdený v Apache Log4j, ktorý je charakterizovaný ako populárny rámec na organizovanie logovania v aplikáciách Java, ktorý umožňuje spustenie ľubovoľného kódu, keď sa do registra zapíše špeciálne naformátovaná hodnota vo formáte „{jndi: URL}“.
Zraniteľnosť Je to pozoruhodné, pretože útok možno vykonať v aplikáciách Java, ktoréZaznamenávajú hodnoty získané z externých zdrojov, napríklad zobrazovaním problematických hodnôt v chybových hláseniach.
Je to pozorované ovplyvnené sú takmer všetky projekty, ktoré používajú rámce ako Apache Struts, Apache Solr, Apache Druid alebo Apache Flink, vrátane klientov a serverov Steam, Apple iCloud, Minecraft.
Úplné upozornenie podrobne popisuje niekoľko nedávnych prípadov, keď hackeri úspešne zneužili túto zraniteľnosť na získanie prístupu. Pri minimálne jednom potvrdenom kompromise aktéri zbierali a extrahovali citlivé informácie zo siete obete.
Vyhľadávanie hrozieb, ktoré vykonalo kybernetické velenie americkej pobrežnej stráže, ukazuje, že aktéri hrozieb využili Log4Shell na získanie počiatočného prístupu k sieti od nezverejnenej obete. Nahrali súbor malvéru „hmsvc.exe“, ktorý sa vydáva za bezpečnostný nástroj Microsoft Windows SysInternals LogonSessions.
Spustiteľný súbor zabudovaný do malvéru obsahuje rôzne funkcie vrátane zaznamenávania stlačenia klávesov a implementácie dodatočných užitočných zaťažení a poskytuje grafické používateľské rozhranie na prístup k počítačovému systému Windows obete. Môže fungovať ako príkazový a riadiaci tunelovací proxy, ktorý umožňuje vzdialenému operátorovi dostať sa ďalej do siete, hovoria agentúry.
Analýza tiež zistila, že hmsvc.exe bežal ako lokálny systémový účet s najvyššou možnou úrovňou oprávnení, ale nevysvetlila, ako útočníci zvýšili svoje oprávnenia do tohto bodu.
CISA a pobrežná stráž odporúčajú že všetky organizácie nainštalujte aktualizované zostavy, aby ste zabezpečili, že systémy VMware Horizon a UAG postihnutých spustiť najnovšiu verziu.
Upozornenie dodáva, že organizácie by mali vždy aktualizovať softvér a uprednostniť opravu známych zneužitých zraniteľností. Útočné plochy smerujúce k internetu by sa mali minimalizovať hostením základných služieb v segmentovanej demilitarizovanej zóne.
„Na základe počtu serverov Horizon v našom súbore údajov, ktoré nie sú opravené (len 18 % bolo opravených minulý piatok večer), existuje vysoké riziko, že to vážne ovplyvní stovky, ak nie tisíce podnikov. Tento víkend je tiež prvým, čo sme videli dôkazy rozsiahlej eskalácie, od získania počiatočného prístupu až po začatie nepriateľských akcií na serveroch Horizon."
Zabezpečí sa tým prísne riadenie prístupu k perimetru siete a nehostia sa služby orientované na internet, ktoré nie sú nevyhnutné pre obchodné operácie.
CISA a CGCYBER vyzývajú používateľov a správcov, aby aktualizovali všetky dotknuté systémy VMware Horizon a UAG na najnovšie verzie. Ak aktualizácie alebo riešenia neboli aplikované ihneď po vydaní aktualizácií VMware pre Log4Shell, zaobchádzajte so všetkými dotknutými systémami VMware ako s kompromitovanými. Ďalšie informácie a odporúčania nájdete v časti CSA Malicious Cyber Actors Continue to Exploit Log4Shell na VMware Horizon Systems.
Konečne ak máte záujem dozvedieť sa o tom viac, môžete skontrolovať podrobnosti Na nasledujúcom odkaze.