美国网络安全和基础设施局 (CISA) 和美国海岸警卫队网络司令部 (CGCYBER) 通过网络安全咨询 (CSA) 宣布 Log4Shell 漏洞 (CVE-2021-44228) 仍然被黑客利用。
已检测到的黑客组织 谁仍在利用该漏洞 这个“APT” 并且已经发现 一直在攻击 VMware Horizon 服务器和 Unified Access Gateway (UAG) 以获得对尚未应用可用补丁的组织的初始访问权限。
CSA 提供信息,包括策略、技术、程序和妥协指标,这些信息来自两个相关的事件响应活动以及对受害者网络上发现的样本的恶意软件分析。
对于那些不知道的人e Log4Shell,你应该知道这是一个漏洞 它于 XNUMX 月首次浮出水面并积极针对漏洞 在 Apache Log4 中找到j,其特点是用于组织 Java 应用程序中的日志记录的流行框架,当以“{jndi: URL}”格式将特殊格式的值写入注册表时,允许执行任意代码。
脆弱性 值得注意的是,攻击可以在 Java 应用程序中进行它们记录从外部来源获得的值,例如通过在错误消息中显示有问题的值。
据观察, 几乎所有使用 Apache Struts、Apache Solr、Apache Druid 或 Apache Flink 等框架的项目都受到影响, 包括 Steam、Apple iCloud、Minecraft 客户端和服务器。
完整的警报详细说明了最近几个黑客成功利用该漏洞获得访问权限的案例。 在至少一个确认的妥协中,参与者从受害者的网络中收集并提取了敏感信息。
美国海岸警卫队网络司令部进行的威胁搜索显示,威胁参与者利用 Log4Shell 从未公开的受害者那里获得初始网络访问权限。 他们上传了一个“hmsvc.exe.”恶意软件文件,该文件伪装成 Microsoft Windows SysInternals LogonSessions 安全实用程序。
嵌入恶意软件的可执行文件包含各种功能,包括击键记录和附加有效负载的实现,并提供图形用户界面来访问受害者的 Windows 桌面系统。 机构称,它可以充当命令和控制隧道代理,允许远程操作员进一步进入网络。
分析还发现,hmsvc.exe 是作为具有最高权限级别的本地系统帐户运行的,但没有解释攻击者是如何将他们的权限提升到这一点的。
CISA 和海岸警卫队建议 所有组织 安装更新的版本以确保 VMware Horizon 和 UAG 系统 受影响的运行最新版本。
该警报补充说,组织应始终使软件保持最新状态,并优先修补已知被利用的漏洞。 应通过在分段的非军事区托管基本服务来最大限度地减少面向 Internet 的攻击面。
“根据我们数据集中未修补的 Horizon 服务器数量(截至上周五晚上只有 18% 已修补),这将严重影响数百甚至数千家企业的风险很高。.. 本周末也是我们第一次看到大规模升级的证据,从获得初始访问权限到开始对 Horizon 服务器采取敌对行动。”
这样做可确保对网络外围进行严格的访问控制,并且不会托管对业务运营而言并非必不可少的面向 Internet 的服务。
CISA 和 CGCYBER 鼓励用户和管理员将所有受影响的 VMware Horizon 和 UAG 系统更新到最新版本。 如果在发布 Log4Shell 的 VMware 更新后未立即应用更新或解决方法,请将所有受影响的 VMware 系统视为已受到威胁。 有关详细信息和其他建议,请参阅 CSA 恶意网络参与者继续利用 VMware Horizon 系统上的 Log4Shell。
最后 如果您有兴趣了解更多有关它的信息,您可以查看详细信息 在下面的链接.