US Cyber Security and Infrastructure Agency (CISA) och US Coast Guard Cyber Command (CGCYBER) tillkännagav genom en cybersäkerhetsrådgivning (CSA) att Log4Shell sårbarheter (CVE-2021-44228) utnyttjas fortfarande av hackare.
Av de hackergrupper som har upptäckts som fortfarande utnyttjar sårbarheten denna "APT" och det har konstaterats har attackerat VMware Horizon-servrar och Unified Access Gateway (UAG) för att få första åtkomst till organisationer som inte har tillämpat tillgängliga patchar.
CSA tillhandahåller information, inklusive taktik, tekniker och procedurer och indikatorer på kompromiss, härledd från två relaterade incidentresponsengagemang och analys av skadlig programvara av prover som upptäckts på offernätverk.
För de som inte vete Log4Shell, du bör veta att detta är en sårbarhet som först dök upp i december och aktivt riktade in sig på sårbarheter finns i Apache Log4j, som karakteriseras som ett populärt ramverk för att organisera loggning i Java-applikationer, vilket tillåter att godtycklig kod exekveras när ett speciellt formaterat värde skrivs till registret i formatet "{jndi: URL}".
Sårbarhet Det är anmärkningsvärt eftersom attacken kan utföras i Java-applikationer somDe registrerar värden som erhållits från externa källor, till exempel genom att visa problematiska värden i felmeddelanden.
Det observeras att nästan alla projekt som använder ramverk som Apache Struts, Apache Solr, Apache Druid eller Apache Flink påverkas, inklusive Steam, Apple iCloud, Minecraft-klienter och -servrar.
Den fullständiga varningen beskriver flera senaste fall där hackare framgångsrikt har utnyttjat sårbarheten för att få åtkomst. I minst en bekräftad kompromiss samlade skådespelarna in och extraherade känslig information från offrets nätverk.
Hotsökning utförd av US Coast Guard Cyber Command visar att hotaktörer utnyttjade Log4Shell för att få initial nätverksåtkomst från ett hemligt offer. De laddade upp en "hmsvc.exe." skadlig fil, som maskerar sig som Microsoft Windows SysInternals LogonSessions säkerhetsverktyg.
En körbar fil inbäddad i skadlig programvara innehåller olika funktioner, inklusive tangenttryckningsloggning och implementering av ytterligare nyttolaster, och tillhandahåller ett grafiskt användargränssnitt för åtkomst till offrets Windows-skrivbordssystem. Det kan fungera som en kommando-och-kontroll tunnling proxy, vilket gör att en fjärroperatör kan nå längre in i ett nätverk, säger byråerna.
Analysen fann också att hmsvc.exe kördes som ett lokalt systemkonto med högsta möjliga privilegienivå, men förklarade inte hur angriparna höjde sina privilegier till den punkten.
CISA och kustbevakningen rekommenderar att alla organisationer installera uppdaterade builds för att säkerställa att VMware Horizon och UAG-system påverkas kör den senaste versionen.
Varningen tillade att organisationer alltid bör hålla programvara uppdaterad och prioritera att korrigera kända exploaterade sårbarheter. Angreppsytor mot internet bör minimeras genom att vara värd för viktiga tjänster i en segmenterad demilitariserad zon.
"Baserat på antalet Horizon-servrar i vår datamängd som inte är patchade (endast 18 % patchades i fredags kväll), finns det en stor risk att detta allvarligt kommer att påverka hundratals, om inte tusentals, företag. . Den här helgen är också första gången vi har sett bevis på en utbredd upptrappning, från att få första tillgång till att börja vidta fientliga åtgärder på Horizon-servrar."
Genom att göra det säkerställs strikta åtkomstkontroller till nätverkets omkrets och är inte värd för tjänster som vänder sig till Internet som inte är väsentliga för affärsverksamheten.
CISA och CGCYBER uppmuntrar användare och administratörer att uppdatera alla berörda VMware Horizon- och UAG-system till de senaste versionerna. Om uppdateringarna eller lösningarna inte tillämpades omedelbart efter lanseringen av VMware-uppdateringar för Log4Shell, behandla alla påverkade VMware-system som komprometterade. Se CSA Malicious Cyber Actors Continue to Exploit Log4Shell på VMware Horizon Systems för mer information och ytterligare rekommendationer.
Slutligen om du är intresserad av att veta mer om detkan du kontrollera detaljerna I följande länk.