美國網絡安全和基礎設施局 (CISA) 和美國海岸警衛隊網絡司令部 (CGCYBER) 通過網絡安全諮詢 (CSA) 宣布 Log4Shell 漏洞 (CVE-2021-44228) 仍然被黑客利用。
已檢測到的黑客組織 誰仍在利用該漏洞 這個“APT” 並且已經發現 一直在攻擊 VMware Horizon 服務器和 Unified Access Gateway (UAG) 以獲得對尚未應用可用補丁的組織的初始訪問權限。
CSA 提供信息,包括策略、技術、程序和妥協指標,這些信息來自兩個相關的事件響應活動以及對受害者網絡上發現的樣本的惡意軟件分析。
對於那些不知道的人e Log4Shell,你應該知道這是一個漏洞 它於 XNUMX 月首次浮出水面並積極針對漏洞 在 Apache Log4 中找到j,其特點是用於組織 Java 應用程序中的日誌記錄的流行框架,當以“{jndi: URL}”格式將特殊格式的值寫入註冊表時,允許執行任意代碼。
脆弱性 值得注意的是,攻擊可以在 Java 應用程序中進行它們記錄從外部來源獲得的值,例如通過在錯誤消息中顯示有問題的值。
據觀察, 幾乎所有使用 Apache Struts、Apache Solr、Apache Druid 或 Apache Flink 等框架的項目都受到影響, 包括 Steam、Apple iCloud、Minecraft 客戶端和服務器。
完整的警報詳細說明了最近幾個黑客成功利用該漏洞獲得訪問權限的案例。 在至少一個確認的妥協中,參與者從受害者的網絡中收集並提取了敏感信息。
美國海岸警衛隊網絡司令部進行的威脅搜索顯示,威脅行為者利用 Log4Shell 從未公開的受害者那裡獲得初始網絡訪問權限。 他們上傳了一個“hmsvc.exe.”惡意軟件文件,該文件偽裝成 Microsoft Windows SysInternals LogonSessions 安全實用程序。
嵌入惡意軟件的可執行文件包含各種功能,包括擊鍵記錄和附加有效負載的實現,並提供圖形用戶界面來訪問受害者的 Windows 桌面系統。 機構稱,它可以充當命令和控制隧道代理,允許遠程操作員進一步進入網絡。
分析還發現,hmsvc.exe 是作為具有最高權限級別的本地系統帳戶運行的,但沒有解釋攻擊者是如何將他們的權限提升到這一點的。
CISA 和海岸警衛隊建議 所有組織 安裝更新的版本以確保 VMware Horizon 和 UAG 系統 受影響的運行最新版本。
該警報補充說,組織應始終使軟件保持最新狀態,並優先修補已知被利用的漏洞。 應通過在分段的非軍事區託管基本服務來最大限度地減少面向 Internet 的攻擊面。
“根據我們數據集中未修補的 Horizon 服務器數量(截至上週五晚上只有 18% 已修補),這將嚴重影響數百甚至數千家企業的風險很高。.. 本週末也是我們第一次看到大規模升級的證據,從獲得初始訪問權限到開始對 Horizon 服務器採取敵對行動。”
這樣做可確保對網絡外圍進行嚴格的訪問控制,並且不會託管對業務運營而言並非必不可少的面向 Internet 的服務。
CISA 和 CGCYBER 鼓勵用戶和管理員將所有受影響的 VMware Horizon 和 UAG 系統更新到最新版本。 如果在發布 Log4Shell 的 VMware 更新後未立即應用更新或解決方法,請將所有受影響的 VMware 系統視為已受到威脅。 有關詳細信息和其他建議,請參閱 CSA 惡意網絡參與者繼續利用 VMware Horizon 系統上的 Log4Shell。
終於 如果您有興趣了解更多信息,您可以查看詳細信息 在下面的鏈接.