สำนักงานความปลอดภัยและโครงสร้างพื้นฐานทางไซเบอร์แห่งสหรัฐอเมริกา (CISA) และหน่วยบัญชาการทางไซเบอร์ของหน่วยยามฝั่งสหรัฐ (CGCYBER) ประกาศผ่านที่ปรึกษาด้านความปลอดภัยทางไซเบอร์ (CSA) ว่า ช่องโหว่ของ Log4Shell (CVE-2021-44228) ยังคงถูกแฮ็กเกอร์เอาเปรียบ
ของกลุ่มแฮกเกอร์ที่ตรวจพบ ที่ยังคงใช้ประโยชน์จากจุดอ่อนนั้นอยู่ "APT" นี้ และพบว่า ได้โจมตีเซิร์ฟเวอร์ VMware Horizon และ Unified Access Gateway (UAG) เพื่อเข้าถึงองค์กรที่ไม่ได้ใช้โปรแกรมแก้ไขที่พร้อมใช้งานในเบื้องต้น
CSA ให้ข้อมูล ซึ่งรวมถึงกลวิธี เทคนิค ขั้นตอน และตัวบ่งชี้ของการประนีประนอม ซึ่งได้มาจากการโต้ตอบเหตุการณ์ที่เกี่ยวข้องสองครั้งและการวิเคราะห์มัลแวร์ของกลุ่มตัวอย่างที่ค้นพบในเครือข่ายเหยื่อ
เผื่อใครยังไม่รู้e Log4Shell คุณควรรู้ว่านี่เป็นช่องโหว่ ซึ่งเกิดขึ้นครั้งแรกในเดือนธันวาคมและกำหนดเป้าหมายช่องโหว่อย่างแข็งขัน พบใน Apache Log4j ซึ่งมีลักษณะเป็นเฟรมเวิร์กยอดนิยมสำหรับการจัดระเบียบการบันทึกในแอปพลิเคชัน Java อนุญาตให้เรียกใช้โค้ดโดยอำเภอใจเมื่อเขียนค่าที่มีรูปแบบพิเศษลงในรีจิสทรีในรูปแบบ "{jndi: URL}"
ช่องโหว่ เป็นที่น่าสังเกตเพราะการโจมตีสามารถทำได้ในแอปพลิเคชัน Java ที่บันทึกค่าที่ได้รับจากแหล่งภายนอก เช่น โดยแสดงค่าที่เป็นปัญหาในข้อความแสดงข้อผิดพลาด
เป็นที่สังเกตว่า เกือบทุกโครงการที่ใช้เฟรมเวิร์กเช่น Apache Struts, Apache Solr, Apache Druid หรือ Apache Flink ได้รับผลกระทบ รวมถึง Steam, Apple iCloud, ไคลเอนต์ Minecraft และเซิร์ฟเวอร์
รายละเอียดการแจ้งเตือนแบบเต็มมีกรณีล่าสุดหลายกรณีที่แฮ็กเกอร์ใช้ช่องโหว่เพื่อเข้าถึงได้สำเร็จ ในการประนีประนอมที่ได้รับการยืนยันอย่างน้อยหนึ่งครั้ง นักแสดงได้รวบรวมและดึงข้อมูลที่ละเอียดอ่อนจากเครือข่ายของเหยื่อ
การค้นหาภัยคุกคามที่ดำเนินการโดย US Coast Guard Cyber Command แสดงให้เห็นว่าผู้คุกคามใช้ประโยชน์จาก Log4Shell เพื่อเข้าถึงเครือข่ายเริ่มต้นจากเหยื่อที่ไม่เปิดเผย พวกเขาอัปโหลดไฟล์มัลแวร์ “hmsvc.exe” ซึ่งปลอมแปลงเป็นยูทิลิตี้ความปลอดภัย Microsoft Windows SysInternals LogonSessions
โปรแกรมปฏิบัติการที่ฝังอยู่ภายในมัลแวร์มีความสามารถต่างๆ รวมถึงการบันทึกการกดแป้นพิมพ์และการใช้งานเพย์โหลดเพิ่มเติม และให้อินเทอร์เฟซผู้ใช้แบบกราฟิกเพื่อเข้าถึงระบบเดสก์ท็อป Windows ของเหยื่อ หน่วยงานดังกล่าวสามารถทำหน้าที่เป็นพร็อกซีช่องคำสั่งและควบคุมช่องสัญญาณ ซึ่งช่วยให้ผู้ปฏิบัติงานระยะไกลสามารถเข้าถึงเครือข่ายเพิ่มเติมได้
การวิเคราะห์ยังพบว่า hmsvc.exe ทำงานเป็นบัญชีระบบภายในที่มีระดับสิทธิ์สูงสุดที่เป็นไปได้ แต่ไม่ได้อธิบายว่าผู้โจมตียกระดับสิทธิ์ของตนไปยังจุดนั้นได้อย่างไร
CISA และหน่วยยามฝั่งแนะนำ ที่ทุกองค์กร ติดตั้งบิลด์ที่อัปเดตเพื่อให้แน่ใจว่าระบบ VMware Horizon และ UAG ได้รับผลกระทบเรียกใช้เวอร์ชันล่าสุด
การแจ้งเตือนเสริมว่าองค์กรควรปรับปรุงซอฟต์แวร์ให้ทันสมัยอยู่เสมอ และจัดลำดับความสำคัญของการแพตช์ช่องโหว่ที่รู้จัก พื้นผิวการโจมตีที่เชื่อมต่อกับอินเทอร์เน็ตควรลดลงโดยการโฮสต์บริการที่จำเป็นในโซนปลอดทหารที่แบ่งส่วน
“จากจำนวนเซิร์ฟเวอร์ Horizon ในชุดข้อมูลของเราที่ไม่ได้รับการแพตช์ (มีเพียง 18% เท่านั้นที่ถูกแพตช์เมื่อคืนวันศุกร์ที่แล้ว) มีความเสี่ยงสูงที่จะส่งผลกระทบต่อธุรกิจหลายร้อยราย หากไม่นับพัน . สุดสัปดาห์นี้ยังนับเป็นครั้งแรกที่เราได้เห็นหลักฐานของการเพิ่มระดับในวงกว้าง ตั้งแต่การเข้าถึงครั้งแรกไปจนถึงการเริ่มต้นไปจนถึงการดำเนินการที่ไม่เป็นมิตรบนเซิร์ฟเวอร์ Horizon"
การทำเช่นนี้ช่วยรับรองการควบคุมการเข้าถึงที่เข้มงวดในขอบเขตของเครือข่าย และไม่ได้โฮสต์บริการที่เชื่อมต่อกับอินเทอร์เน็ตที่ไม่จำเป็นต่อการดำเนินธุรกิจ
CISA และ CGCYBER สนับสนุนให้ผู้ใช้และผู้ดูแลระบบอัปเดตระบบ VMware Horizon และ UAG ที่ได้รับผลกระทบทั้งหมดให้เป็นเวอร์ชันล่าสุด หากการอัปเดตหรือวิธีแก้ไขปัญหาชั่วคราวไม่ได้นำไปใช้ในทันทีหลังจากการเปิดตัวการอัปเดต VMware สำหรับ Log4Shell ให้ถือว่าระบบ VMware ที่ได้รับผลกระทบทั้งหมดถูกบุกรุก ดู CSA อาชญากรไซเบอร์ที่เป็นอันตรายยังคงใช้ประโยชน์จาก Log4Shell บน VMware Horizon Systems สำหรับข้อมูลเพิ่มเติมและคำแนะนำเพิ่มเติม
ในที่สุด หากคุณสนใจที่จะทราบข้อมูลเพิ่มเติมคุณสามารถตรวจสอบรายละเอียด ในลิงค์ต่อไปนี้.