Agjencia Amerikane e Sigurisë Kibernetike dhe Infrastrukturës (CISA) dhe Komanda Kibernetike e Rojës Bregdetare të SHBA (CGCYBER) njoftuan përmes një këshillimi për sigurinë kibernetike (CSA) se Dobësitë e Log4Shell (CVE-2021-44228) janë ende duke u shfrytëzuar nga hakerat.
Nga grupet e hakerëve që janë zbuluar të cilët janë ende duke shfrytëzuar cenueshmërinë kjo "APT" dhe është konstatuar se kanë sulmuar serverët VMware Horizon dhe Unified Access Gateway (UAG) për të fituar akses fillestar te organizatat që nuk kanë aplikuar arna të disponueshme.
CSA ofron informacion, duke përfshirë taktikat, teknikat dhe procedurat dhe treguesit e kompromisit, që rrjedhin nga dy angazhime të lidhura me reagimin ndaj incidentit dhe analiza e malware të mostrave të zbuluara në rrjetet e viktimave.
Për ata që nuk e dinëdhe Log4Shell, duhet ta dini se ky është një cenueshmëri i cili u shfaq për herë të parë në dhjetor dhe synoi në mënyrë aktive dobësitë gjendet në Apache Log4j, i cili karakterizohet si një kornizë popullore për organizimin e regjistrimit në aplikacionet Java, duke lejuar ekzekutimin e kodit arbitrar kur një vlerë e formatuar posaçërisht shkruhet në regjistër në formatin "{jndi: URL}".
Prekshmëria Është i dukshëm sepse sulmi mund të kryhet në aplikacionet Java qëAta regjistrojnë vlerat e marra nga burime të jashtme, për shembull duke shfaqur vlera problematike në mesazhet e gabimit.
Observedshtë vërejtur se pothuajse të gjitha projektet që përdorin korniza si Apache Struts, Apache Solr, Apache Druid ose Apache Flink preken, duke përfshirë klientët dhe serverët e Steam, Apple iCloud, Minecraft.
Alarmi i plotë detajon disa raste të fundit ku hakerët kanë shfrytëzuar me sukses cenueshmërinë për të fituar akses. Në të paktën një kompromis të konfirmuar, aktorët mblodhën dhe nxorrën informacione të ndjeshme nga rrjeti i viktimës.
Kërkimi i kërcënimeve i kryer nga Komanda Kibernetike e Rojës Bregdetare të SHBA-së tregon se aktorët e kërcënimit kanë shfrytëzuar Log4Shell për të fituar akses fillestar në rrjet nga një viktimë e pazbuluar. Ata ngarkuan një skedar malware “hmsvc.exe”, i cili maskohet si mjeti i sigurisë Microsoft Windows SysInternals LogonSessions.
Një ekzekutues i integruar brenda malware përmban aftësi të ndryshme, duke përfshirë regjistrimin e tastierës dhe zbatimin e ngarkesave shtesë, dhe ofron një ndërfaqe grafike të përdoruesit për të hyrë në sistemin desktop të Windows të viktimës. Ai mund të funksionojë si një proxy tunelimi i komandës dhe kontrollit, duke lejuar një operator në distancë të arrijë më tej në një rrjet, thonë agjencitë.
Analiza zbuloi gjithashtu se hmsvc.exe funksiononte si një llogari e sistemit lokal me nivelin më të lartë të mundshëm të privilegjeve, por nuk shpjegoi se si sulmuesit i ngritën privilegjet e tyre deri në atë pikë.
CISA dhe Roja Bregdetare rekomandojnë që të gjitha organizatat instaloni ndërtime të përditësuara për të siguruar që sistemet VMware Horizon dhe UAG ndikuar ekzekutoni versionin më të fundit.
Alarmi shtoi se organizatat duhet të mbajnë gjithmonë softuerin të përditësuar dhe t'i japin përparësi korrigjimit të dobësive të njohura të shfrytëzuara. Sipërfaqet e sulmeve që përballen me internetin duhet të minimizohen duke pritur shërbimet thelbësore në një zonë të segmentuar të demilitarizuar.
“Bazuar në numrin e serverëve Horizon në grupin tonë të të dhënave që nuk janë rregulluar (vetëm 18% u patchuan që nga mbrëmja e së premtes së kaluar), ekziston një rrezik i lartë që kjo të ndikojë seriozisht në qindra, nëse jo mijëra, biznese. . Kjo fundjavë shënon gjithashtu herën e parë që ne kemi parë prova të përshkallëzimit të gjerë, duke shkuar nga fitimi i aksesit fillestar në fillimin e ndërmarrjes së veprimeve armiqësore në serverët Horizon."
Të bësh këtë siguron kontrolle të rrepta të aksesit në perimetrin e rrjetit dhe nuk pret shërbime që përballen me internetin që nuk janë thelbësore për operacionet e biznesit.
CISA dhe CGCYBER inkurajojnë përdoruesit dhe administratorët të përditësojnë të gjitha sistemet e prekura VMware Horizon dhe UAG në versionet më të fundit. Nëse përditësimet ose zgjidhjet e zgjidhjeve nuk u zbatuan menjëherë pas lëshimit të përditësimeve të VMware për Log4Shell, trajtojini të gjitha sistemet e prekura VMware si të komprometuara. Shih CSA Malicious Cyber Actors Vazhdojnë të shfrytëzojnë Log4Shell në VMware Horizon Systems për më shumë informacion dhe rekomandime shtesë.
Më në fund nëse jeni të interesuar të dini më shumë për të, ju mund të kontrolloni detajet Në lidhjen vijuese.