Ameriška agencija za kibernetsko varnost in infrastrukturo (CISA) in kibernetsko poveljstvo obalne straže ZDA (CGCYBER) sta prek svetovalca za kibernetsko varnost (CSA) sporočila, da Ranljivosti Log4Shell (CVE-2021-44228) še vedno izkoriščajo hekerji.
Od odkritih hekerskih skupin ki še vedno izkoriščajo ranljivost ta "APT" in je bilo ugotovljeno, da so napadali strežnike VMware Horizon in Unified Access Gateway (UAG), da pridobite začetni dostop do organizacij, ki niso uporabile razpoložljivih popravkov.
CSA zagotavlja informacije, vključno s taktiko, tehnikami in postopki ter kazalniki kompromisa, ki izhajajo iz dveh povezanih odzivov na incidente in analize zlonamerne programske opreme vzorcev, odkritih v omrežjih žrtev.
Za tiste, ki ne vedoe Log4Shell, morate vedeti, da je to ranljivost ki se je prvič pojavila decembra in je aktivno ciljala na ranljivosti najdeno v Apache Log4j, ki je označen kot priljubljen okvir za organizacijo prijavljanja v aplikacije Java, ki omogoča izvajanje poljubne kode, ko se v register zapiše posebej oblikovana vrednost v obliki "{jndi: URL}".
Ranljivost To je opazno, ker se napad lahko izvede v aplikacijah Java, kiZapisujejo vrednosti, pridobljene iz zunanjih virov, na primer s prikazovanjem problematičnih vrednosti v sporočilih o napakah.
Opaziti je, da prizadeti so skoraj vsi projekti, ki uporabljajo okvire, kot so Apache Struts, Apache Solr, Apache Druid ali Apache Flink, vključno s Steamom, Apple iCloud, odjemalci in strežniki Minecraft.
Celotno opozorilo opisuje več nedavnih primerov, ko so hekerji uspešno izkoristili ranljivost za dostop. V vsaj enem potrjenem kompromisu so akterji zbrali in iz mreže žrtve izvlekli občutljive informacije.
Iskanje groženj, ki ga je izvedlo kibernetsko poveljstvo obalne straže ZDA, kaže, da so akterji grožnje izkoristili Log4Shell, da bi pridobili začetni dostop do omrežja od nerazkrite žrtve. Naložili so datoteko z zlonamerno programsko opremo »hmsvc.exe«, ki se prikriva kot varnostni pripomoček Microsoft Windows SysInternals LogonSessions.
Izvedljiva datoteka, ki je vdelana v zlonamerno programsko opremo, vsebuje različne zmožnosti, vključno z beleženjem pritiskov tipk in implementacijo dodatnih koristnih obremenitev ter zagotavlja grafični uporabniški vmesnik za dostop do namiznega sistema Windows žrtve. Deluje lahko kot proxy za tuneliranje za poveljevanje in nadzor, ki omogoča oddaljenemu operaterju, da seže dlje v omrežje, pravijo agencije.
Analiza je tudi pokazala, da je hmsvc.exe deloval kot lokalni sistemski račun z najvišjo možno stopnjo privilegijev, ni pa pojasnila, kako so napadalci povišali svoje privilegije do te točke.
CISA in obalna straža priporočata da vse organizacije namestite posodobljene različice, da zagotovite, da sistema VMware Horizon in UAG prizadeti zaženite najnovejšo različico.
V opozorilu je dodano, da bi morale organizacije vedno posodabljati programsko opremo in dati prednost popravljanju znanih izkoriščanih ranljivosti. Površine napadov, ki so obrnjene na internet, bi bilo treba čim bolj zmanjšati z gostovanjem bistvenih storitev v segmentiranem demilitariziranem območju.
»Glede na število strežnikov Horizon v našem nizu podatkov, ki niso popravljeni (od prejšnjega petka zvečer je bilo popravljenih le 18 %), obstaja veliko tveganje, da bo to resno vplivalo na stotine, če ne na tisoče podjetij. Ta konec tedna je tudi prvič, da smo videli dokaze o razširjeni eskalaciji, od pridobivanja začetnega dostopa do začetka sovražnih dejanj na strežnikih Horizon."
S tem zagotavljamo strog nadzor dostopa do omrežnega oboda in ne gostimo internetnih storitev, ki niso bistvene za poslovanje.
CISA in CGCYBER spodbujata uporabnike in skrbnike, da posodobijo vse prizadete sisteme VMware Horizon in UAG na najnovejše različice. Če posodobitve ali rešitve niso bile uporabljene takoj po izdaji posodobitev VMware za Log4Shell, obravnavajte vse prizadete sisteme VMware kot ogrožene. Za več informacij in dodatna priporočila glejte CSA Malicious Cyber Actors Continue to Exploit Log4Shell na VMware Horizon Systems.
Končno če vas zanima več o tem, lahko preverite podrobnosti V naslednji povezavi.