Ang US Cyber Security and Infrastructure Agency (CISA) at ang US Coast Guard Cyber Command (CGCYBER) ay nag-anunsyo sa pamamagitan ng isang cyber security advisory (CSA) na Mga kahinaan sa Log4Shell (CVE-2021-44228) pinagsasamantalahan pa rin ng mga hacker.
Sa mga hacker group na na-detect na pinagsasamantalahan pa rin ang kahinaan itong "APT" at ito ay natagpuan na umaatake sa mga server ng VMware Horizon at Unified Access Gateway (UAG) upang makakuha ng paunang access sa mga organisasyong hindi naglapat ng mga available na patch.
Ang CSA ay nagbibigay ng impormasyon, kabilang ang mga taktika, diskarte, at pamamaraan at tagapagpahiwatig ng kompromiso, na nagmula sa dalawang nauugnay na pakikipag-ugnayan sa pagtugon sa insidente at pagsusuri ng malware ng mga sample na natuklasan sa mga network ng biktima.
Para sa mga hindi nakakaalame Log4Shell, dapat mong malaman na ito ay isang kahinaan na unang lumabas noong Disyembre at aktibong nagta-target ng mga kahinaan matatagpuan sa Apache Log4j, na kung saan ay nailalarawan bilang isang tanyag na balangkas para sa pag-aayos ng pag-log in sa mga aplikasyon ng Java, na nagpapahintulot sa arbitrary na code na maisagawa kapag ang isang espesyal na na-format na halaga ay isinulat sa registry sa format na "{jndi: URL}".
Kakayahang mangyari Ito ay kapansin-pansin dahil ang pag-atake ay maaaring isagawa sa mga aplikasyon ng Java naItinatala nila ang mga halaga na nakuha mula sa mga panlabas na mapagkukunan, halimbawa sa pamamagitan ng pagpapakita ng mga problemang halaga sa mga mensahe ng error.
Naobserbahan na halos lahat ng mga proyekto na gumagamit ng mga balangkas tulad ng Apache Struts, Apache Solr, Apache Druid o Apache Flink ay apektado, kabilang ang Steam, Apple iCloud, mga kliyente at server ng Minecraft.
Ang buong alerto ay nagdedetalye ng ilang kamakailang mga kaso kung saan matagumpay na pinagsamantalahan ng mga hacker ang kahinaan upang makakuha ng access. Sa hindi bababa sa isang nakumpirmang kompromiso, ang mga aktor ay nakolekta at nakakuha ng sensitibong impormasyon mula sa network ng biktima.
Ang pagbabanta na paghahanap na isinagawa ng US Coast Guard Cyber Command ay nagpapakita na sinamantala ng mga aktor ng pagbabanta ang Log4Shell upang makakuha ng paunang access sa network mula sa isang hindi nasabi na biktima. Nag-upload sila ng "hmsvc.exe." malware file, na nagpapanggap bilang ang Microsoft Windows SysInternals LogonSessions security utility.
Ang isang executable na naka-embed sa loob ng malware ay naglalaman ng iba't ibang mga kakayahan, kabilang ang keystroke logging at pagpapatupad ng mga karagdagang payload, at nagbibigay ng graphical na user interface upang ma-access ang Windows desktop system ng biktima. Maaari itong gumana bilang isang command-and-control tunneling proxy, na nagpapahintulot sa isang remote na operator na maabot pa sa isang network, sabi ng mga ahensya.
Nalaman din ng pagsusuri na ang hmsvc.exe ay tumatakbo bilang isang lokal na system account na may pinakamataas na posibleng antas ng pribilehiyo, ngunit hindi ipinaliwanag kung paano itinaas ng mga umaatake ang kanilang mga pribilehiyo sa puntong iyon.
Inirerekomenda ng CISA at ng Coast Guard na lahat ng organisasyon i-install ang mga na-update na build upang matiyak na ang VMware Horizon at mga UAG system apektadong tumakbo sa pinakabagong bersyon.
Idinagdag ng alerto na dapat palaging panatilihing napapanahon ng mga organisasyon ang software at unahin ang pag-patch ng mga kilalang pinagsasamantalahang kahinaan. Ang mga surface ng pag-atake na nakaharap sa Internet ay dapat mabawasan sa pamamagitan ng pagho-host ng mahahalagang serbisyo sa isang segment na demilitarized zone.
“Batay sa bilang ng mga server ng Horizon sa aming set ng data na hindi na-patched (18% lang ang na-patch noong nakaraang Biyernes ng gabi), may mataas na panganib na ito ay seryosong makakaapekto sa daan-daan, kung hindi libu-libo, ng mga negosyo. . Ang katapusan ng linggo na ito ay minarkahan din ang unang pagkakataon na nakakita kami ng katibayan ng malawakang pagdami, mula sa pagkakaroon ng paunang pag-access hanggang sa simulang gumawa ng pagalit na aksyon sa mga server ng Horizon."
Tinitiyak ng paggawa nito ang mahigpit na mga kontrol sa pag-access sa perimeter ng network at hindi nagho-host ng mga serbisyong nakaharap sa Internet na hindi mahalaga sa mga operasyon ng negosyo.
Hinihikayat ng CISA at CGCYBER ang mga user at administrator na i-update ang lahat ng apektadong VMware Horizon at UAG system sa mga pinakabagong bersyon. Kung ang mga update o solusyon ay hindi nailapat kaagad pagkatapos ng paglabas ng mga update sa VMware para sa Log4Shell , ituring ang lahat ng apektadong VMware system bilang nakompromiso. Tingnan ang CSA Malicious Cyber Actors Continue to Exploit Log4Shell on VMware Horizon Systems para sa higit pang impormasyon at karagdagang rekomendasyon.
Sa wakas kung interesado kang malaman ang tungkol dito, maaari mong suriin ang mga detalye Sa sumusunod na link.