Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) và Bộ Chỉ huy Không gian mạng của Lực lượng Bảo vệ Bờ biển Hoa Kỳ (CGCYBER) đã thông báo thông qua một cố vấn an ninh mạng (CSA) rằng Các lỗ hổng Log4Shell (CVE-2021-44228) vẫn đang bị khai thác bởi tin tặc.
Trong số các nhóm hacker đã được phát hiện ai vẫn đang khai thác lỗ hổng bảo mật "APT" này và nó đã được tìm thấy rằng đã tấn công vào máy chủ VMware Horizon và Cổng truy cập hợp nhất (UAG) để có quyền truy cập ban đầu vào các tổ chức chưa áp dụng các bản vá có sẵn.
CSA cung cấp thông tin, bao gồm các chiến thuật, kỹ thuật, thủ tục và các chỉ báo về sự xâm phạm, thu được từ hai hoạt động tham gia ứng phó sự cố liên quan và phân tích phần mềm độc hại của các mẫu được phát hiện trên mạng nạn nhân.
Dành cho những ai chưa biếte Log4Shell, bạn nên biết rằng đây là một lỗ hổng lần đầu tiên xuất hiện vào tháng XNUMX và chủ động nhắm mục tiêu vào các lỗ hổng bảo mật tìm thấy trong Apache Log4j, được đặc trưng như một khuôn khổ phổ biến để tổ chức đăng nhập trong các ứng dụng Java, cho phép mã tùy ý được thực thi khi một giá trị có định dạng đặc biệt được ghi vào sổ đăng ký ở định dạng "{jndi: URL}".
Lỗ hổng Điều đáng chú ý là vì cuộc tấn công có thể được thực hiện trong các ứng dụng JavaChúng ghi lại các giá trị thu được từ các nguồn bên ngoài, ví dụ bằng cách hiển thị các giá trị có vấn đề trong thông báo lỗi.
Người ta quan sát thấy rằng hầu như tất cả các dự án sử dụng các khung như Apache Struts, Apache Solr, Apache Druid hoặc Apache Flink đều bị ảnh hưởng, bao gồm máy khách và máy chủ Steam, Apple iCloud, Minecraft.
Cảnh báo đầy đủ nêu chi tiết một số trường hợp gần đây mà tin tặc đã khai thác thành công lỗ hổng để có được quyền truy cập. Trong ít nhất một thỏa hiệp đã được xác nhận, các diễn viên đã thu thập và trích xuất thông tin nhạy cảm từ mạng của nạn nhân.
Cuộc tìm kiếm mối đe dọa do Bộ Tư lệnh Không gian mạng của Lực lượng Phòng vệ Bờ biển Hoa Kỳ thực hiện cho thấy các kẻ đe dọa đã khai thác Log4Shell để có được quyền truy cập mạng ban đầu từ một nạn nhân không được tiết lộ. Họ đã tải lên tệp phần mềm độc hại “hmsvc.exe.” Giả mạo là tiện ích bảo mật Microsoft Windows SysInternals LogonSessions.
Một tệp thực thi được nhúng trong phần mềm độc hại chứa nhiều khả năng khác nhau, bao gồm ghi nhật ký tổ hợp phím và triển khai các tải trọng bổ sung, đồng thời cung cấp giao diện người dùng đồ họa để truy cập vào hệ thống máy tính để bàn Windows của nạn nhân. Nó có thể hoạt động như một proxy đường hầm ra lệnh và điều khiển, cho phép người điều khiển từ xa tiếp cận sâu hơn vào mạng, các cơ quan cho biết.
Phân tích cũng cho thấy rằng hmsvc.exe đang chạy như một tài khoản hệ thống cục bộ với mức đặc quyền cao nhất có thể, nhưng không giải thích được bằng cách nào những kẻ tấn công đã nâng cao đặc quyền của họ đến thời điểm đó.
CISA và Cảnh sát biển khuyến nghị rằng tất cả các tổ chức cài đặt các bản dựng cập nhật để đảm bảo rằng hệ thống VMware Horizon và UAG bị ảnh hưởng chạy phiên bản mới nhất.
Cảnh báo nói thêm rằng các tổ chức phải luôn cập nhật phần mềm và ưu tiên vá các lỗ hổng đã biết đã bị khai thác. Các bề mặt tấn công đối mặt với Internet nên được giảm thiểu bằng cách lưu trữ các dịch vụ thiết yếu trong một khu vực phi quân sự được phân đoạn.
“Dựa trên số lượng máy chủ Horizon trong tập dữ liệu của chúng tôi không được vá (chỉ 18% được vá tính đến tối thứ Sáu tuần trước), có nguy cơ cao điều này sẽ ảnh hưởng nghiêm trọng đến hàng trăm, nếu không phải hàng nghìn doanh nghiệp. Cuối tuần này cũng đánh dấu lần đầu tiên chúng tôi thấy bằng chứng về sự leo thang lan rộng, từ việc giành được quyền truy cập ban đầu đến việc bắt đầu thực hiện hành động thù địch trên các máy chủ của Horizon. "
Làm như vậy đảm bảo kiểm soát truy cập nghiêm ngặt đối với chu vi mạng và không lưu trữ các dịch vụ kết nối Internet không cần thiết cho hoạt động kinh doanh.
CISA và CGCYBER khuyến khích người dùng và quản trị viên cập nhật tất cả các hệ thống VMware Horizon và UAG bị ảnh hưởng lên phiên bản mới nhất. Nếu các bản cập nhật hoặc giải pháp thay thế không được áp dụng ngay sau khi phát hành các bản cập nhật VMware cho Log4Shell, hãy coi tất cả các hệ thống VMware bị ảnh hưởng là đã bị xâm phạm. Xem Các tác nhân mạng độc hại CSA Tiếp tục khai thác Log4Shell trên Hệ thống VMware Horizon để biết thêm thông tin và các khuyến nghị bổ sung.
Cuối cùng nếu bạn muốn biết thêm về nó, bạn có thể kiểm tra các chi tiết Trong liên kết sau.