Америчка агенција за сајбер безбедност и инфраструктуру (ЦИСА) и Сајбер команда обалске страже САД (ЦГЦИБЕР) објавиле су путем саветника за сајбер безбедност (ЦСА) да Лог4Схелл рањивости (ЦВЕ-2021-44228) и даље их користе хакери.
Од хакерских група које су откривене који још увек искоришћавају рањивост овај "АПТ" а утврђено је да су напали ВМваре Хоризон сервере и Унифиед Аццесс Гатеваи (УАГ) да бисте добили почетни приступ организацијама које нису примениле доступне закрпе.
ЦСА пружа информације, укључујући тактике, технике, процедуре и показатеље компромиса, изведене из два повезана ангажмана у одговору на инциденте и анализе малвера узорака откривених на мрежама жртава.
За оне који не знајуе Лог4Схелл, требало би да знате да је ово рањивост који се први пут појавио у децембру и активно је циљао на рањивости пронађено у Апацхе Лог4ј, који је окарактерисан као популаран оквир за организовање логовања у Јава апликацијама, омогућавајући извршавање произвољног кода када се посебно форматирана вредност упише у регистар у формату „{јнди: УРЛ}“.
Рањивост Значајно је јер се напад може извршити у Јава апликацијама којеОни бележе вредности добијене из спољних извора, на пример, приказујући проблематичне вредности у порукама о грешци.
Примећује се да скоро сви пројекти који користе оквире као што су Апацхе Струтс, Апацхе Солр, Апацхе Друид или Апацхе Флинк су погођени, укључујући Стеам, Аппле иЦлоуд, Минецрафт клијенте и сервере.
Потпуно упозорење описује неколико недавних случајева у којима су хакери успешно искористили рањивост да би добили приступ. У најмање једном потврђеном компромису, актери су прикупили и извукли осетљиве информације из мреже жртве.
Претрага претњи коју је спровела кибернетичка команда обалске страже САД показује да су актери претњи искористили Лог4Схелл да би добили почетни приступ мрежи од непознате жртве. Пребацили су „хмсвц.еке.“ датотеку малвера, која се маскира као безбедносни услужни програм Мицрософт Виндовс СисИнтерналс ЛогонСессионс.
Извршни програм уграђен у малвер садржи различите могућности, укључујући евидентирање притиска на тастере и имплементацију додатних корисних података, и обезбеђује графички кориснички интерфејс за приступ Виндовс десктоп систему жртве. Он може да функционише као прокси за тунелирање за команду и контролу, омогућавајући удаљеном оператеру да допре даље до мреже, кажу агенције.
Анализа је такође открила да је хмсвц.еке радио као локални системски налог са највишим могућим нивоом привилегија, али није објашњено како су нападачи подигли своје привилегије до те тачке.
ЦИСА и обалска стража препоручују да све организације инсталирајте ажуриране верзије како бисте осигурали да ВМваре Хоризон и УАГ системи утиче покрените најновију верзију.
У упозорењу се додаје да организације увек треба да ажурирају софтвер и дају приоритет закрпању познатих искоришћених рањивости. Површине напада на Интернету треба да се минимизирају хостовањем основних услуга у сегментираној демилитаризованој зони.
„На основу броја Хоризон сервера у нашем скупу података који нису закрпљени (само 18% је закрпљено од прошлог петка увече), постоји велики ризик да ће то озбиљно утицати на стотине, ако не и хиљаде предузећа. . Овог викенда је такође први пут да смо видели доказе широко распрострањене ескалације, од добијања почетног приступа до почетка предузимања непријатељских акција на Хоризон серверима."
На тај начин се обезбеђује строга контрола приступа периметру мреже и не хостују се сервиси окренути Интернету који нису од суштинског значаја за пословање.
ЦИСА и ЦГЦИБЕР подстичу кориснике и администраторе да ажурирају све погођене ВМваре Хоризон и УАГ системе на најновије верзије. Ако ажурирања или заобилазна решења нису примењена одмах након објављивања ВМваре ажурирања за Лог4Схелл, третирајте све погођене ВМваре системе као угрожене. Погледајте ЦСА Малициоус Цибер Актери настављају да експлоатишу Лог4Схелл на ВМваре Хоризон Системс за више информација и додатне препоруке.
Коначно ако сте заинтересовани да сазнате више о томе, можете проверити детаље У следећем линку.