ABD Siber Güvenlik ve Altyapı Ajansı (CISA) ve ABD Sahil Güvenlik Siber Komutanlığı (CGCYBER), bir siber güvenlik danışmanlığı (CSA) aracılığıyla duyurdu. Log4Shell güvenlik açıkları (CVE-2021-44228) hala bilgisayar korsanları tarafından istismar ediliyor.
Tespit edilen hacker gruplarından hala güvenlik açığından yararlanan bu "APT" ve bulundu ki VMware Horizon sunucularına ve Unified Access Gateway'e saldırıyor (UAG) kullanılabilir yamaları uygulamamış kuruluşlara ilk erişim elde etmek için.
CSA, kurban ağlarında keşfedilen örneklerin kötü amaçlı yazılım analizi ve ilgili iki olay müdahalesinden elde edilen taktikler, teknikler ve prosedürler ve uzlaşma göstergeleri dahil olmak üzere bilgiler sağlar.
bilmeyenler içine Log4Shell, bunun bir güvenlik açığı olduğunu bilmelisiniz ilk olarak Aralık ayında ortaya çıkan ve aktif olarak güvenlik açıklarını hedef alan Apache Log4'te bulunurj, Java uygulamalarında günlüğe kaydetmeyi düzenlemek için popüler bir çerçeve olarak karakterize edilir ve kayıt defterine "{jndi: URL}" biçiminde özel olarak biçimlendirilmiş bir değer yazıldığında rastgele kodun yürütülmesine izin verir.
Güvenlik Açığı Saldırının Java uygulamalarında gerçekleştirilebilmesi dikkat çekicidir.Harici kaynaklardan elde edilen değerleri örneğin hata mesajlarında sorunlu değerleri görüntüleyerek kaydederler.
Gözlenmektedir ki Apache Struts, Apache Solr, Apache Druid veya Apache Flink gibi çerçeveleri kullanan hemen hemen tüm projeler etkilenir, Steam, Apple iCloud, Minecraft istemcileri ve sunucuları dahil.
Tam uyarı, bilgisayar korsanlarının erişim elde etmek için güvenlik açığından başarıyla yararlandığı son birkaç vakayı detaylandırıyor. En az bir onaylanmış uzlaşmada, aktörler kurbanın ağından hassas bilgiler topladı ve çıkardı.
ABD Sahil Güvenlik Siber Komutanlığı tarafından yürütülen tehdit araştırması, tehdit aktörlerinin açıklanmayan bir kurbandan ilk ağ erişimi elde etmek için Log4Shell'den yararlandığını gösteriyor. Microsoft Windows SysInternals LogonSessions güvenlik yardımcı programı gibi görünen bir "hmsvc.exe." kötü amaçlı yazılım dosyası yüklediler.
Kötü amaçlı yazılımın içine yerleştirilmiş bir yürütülebilir dosya, tuş vuruşu günlüğü ve ek yüklerin uygulanması dahil olmak üzere çeşitli yetenekler içerir ve kurbanın Windows masaüstü sistemine erişmek için grafiksel bir kullanıcı arabirimi sağlar. Ajanslar, uzak bir operatörün bir ağa daha fazla erişmesine izin veren bir komuta ve kontrol tüneli proxy'si olarak işlev görebileceğini söylüyor.
Analiz ayrıca hmsvc.exe'nin mümkün olan en yüksek ayrıcalık düzeyine sahip yerel bir sistem hesabı olarak çalıştığını buldu, ancak saldırganların ayrıcalıklarını bu noktaya nasıl yükselttiğini açıklamadı.
CISA ve Sahil Güvenlik tavsiye ediyor yani tüm organizasyonlar VMware Horizon ve UAG sistemlerinin etkilenen en son sürümü çalıştırın.
Uyarı, kuruluşların yazılımları her zaman güncel tutması ve bilinen açıklardan yararlanılan güvenlik açıklarını yamalamaya öncelik vermesi gerektiğini ekledi. İnternete yönelik saldırı yüzeyleri, temel hizmetleri bölümlere ayrılmış bir askerden arındırılmış bölgede barındırarak en aza indirilmelidir.
"Veri kümemizdeki yama uygulanmayan Horizon sunucularının sayısına göre (geçen Cuma gecesi itibarıyla yalnızca %18'ine yama uygulandı), bunun binlerce değilse de yüzlerce işletmeyi ciddi şekilde etkileme riski yüksek. Bu hafta sonu ayrıca, ilk erişim elde etmekten Horizon sunucularında düşmanca eylemlere başlamaya kadar uzanan yaygın bir yükselişin kanıtını ilk kez görüyoruz."
Bunu yapmak, ağ çevresine sıkı erişim kontrolleri sağlar ve iş operasyonları için gerekli olmayan İnternete yönelik hizmetleri barındırmaz.
CISA ve CGCYBER, kullanıcıları ve yöneticileri, etkilenen tüm VMware Horizon ve UAG sistemlerini en son sürümlere güncellemeye teşvik eder. Güncellemeler veya geçici çözümler, Log4Shell için VMware güncellemelerinin yayınlanmasından hemen sonra uygulanmadıysa, etkilenen tüm VMware sistemlerini güvenliği ihlal edilmiş olarak ele alın. Daha fazla bilgi ve ek öneriler için CSA Kötü Amaçlı Siber Aktörler, VMware Horizon Sistemlerinde Log4Shell'den Yararlanmaya Devam Ediyor konusuna bakın.
Nihayet onun hakkında daha fazla bilgi edinmekle ilgileniyorsanayrıntıları kontrol edebilirsiniz Aşağıdaki bağlantıda.