Log4Shell দুর্বলতা VMware সার্ভারে টার্গেট করা হয়েছে ডেটা এক্সফিল্টার করার জন্য

সাইবারসিকিউরিটি অ্যান্ড ইনফ্রাস্ট্রাকচার সিকিউরিটি এজেন্সি (সিআইএসএ) এবং কোস্ট গার্ড সাইবার কমান্ড (সিজিসিওয়াইবার) একটি প্রকাশ করেছে। যৌথ উপদেষ্টা সতর্ক করা Log4Shell ত্রুটিটি হুমকি অভিনেতাদের দ্বারা অপব্যবহার করা হচ্ছে যা জনসাধারণের মুখোমুখি VMware Horizon এবং Uniified Access Gateway (UAG) সার্ভারের সাথে আপস করছে৷

VMware Horizon হল একটি প্ল্যাটফর্ম যা অ্যাডমিনিস্ট্রেটরদের দ্বারা হাইব্রিড ক্লাউডে ভার্চুয়াল ডেস্কটপ এবং অ্যাপগুলি চালানো এবং বিতরণ করার জন্য ব্যবহৃত হয়, যখন UAG একটি নেটওয়ার্কের ভিতরে থাকা সংস্থানগুলিতে নিরাপদ অ্যাক্সেস প্রদান করে।

CISA-এর মতে, একটি উদাহরণে অগ্রিম ক্রমাগত হুমকি (APT) অভিনেতা শিকারের অভ্যন্তরীণ নেটওয়ার্কের সাথে আপস করে, একটি দুর্যোগ পুনরুদ্ধার নেটওয়ার্ক সংগ্রহ করে এবং সংবেদনশীল তথ্য বের করে। "এই শোষণের অংশ হিসাবে, সন্দেহভাজন APT অভিনেতারা রিমোট কমান্ড অ্যান্ড কন্ট্রোল (C2) সক্ষম করে এমবেডেড এক্সিকিউটেবল সহ আপোসকৃত সিস্টেমে লোডার ম্যালওয়্যার স্থাপন করেছে," CISA যোগ করেছে।

Log4Shell Apache-এ "Log4j" নামে পরিচিত লগিং লাইব্রেরিকে প্রভাবিত করে একটি রিমোট কোড এক্সিকিউশন (RCE) দুর্বলতা। লাইব্রেরিটি বিভিন্ন সংস্থা, উদ্যোগ, অ্যাপ্লিকেশন এবং পরিষেবা দ্বারা ব্যাপকভাবে ব্যবহৃত হয়।

আক্রমণ বিশ্লেষণ

CGCYBER এমন একটি সংস্থায় একটি সক্রিয় হুমকি শিকার বাগদান পরিচালনা করে যা VMware Horizon-এ Log4Shell কে শোষণকারী হুমকি অভিনেতাদের দ্বারা আপোস করা হয়েছিল। এটি প্রকাশ করেছে যে শিকার সিস্টেমে প্রাথমিক অ্যাক্সেস পাওয়ার পরে, প্রতিপক্ষ "hmsvc.exe" হিসাবে চিহ্নিত একটি ম্যালওয়্যার আপলোড করেছে৷

গবেষকরা hmsvc.exe ম্যালওয়্যারের নমুনা বিশ্লেষণ করেছেন এবং নিশ্চিত করেছেন যে প্রক্রিয়াটি একটি বৈধ Windows পরিষেবা এবং SysInternals LogonSessions সফ্টওয়্যারের একটি পরিবর্তিত সংস্করণ হিসাবে ছদ্মবেশ ধারণ করেছে৷

গবেষকদের মতে hmsvc.exe ম্যালওয়্যার একটি উইন্ডোজ সিস্টেমে সর্বোচ্চ বিশেষাধিকার স্তরের সাথে চলছিল এবং এতে একটি এমবেডেড এক্সিকিউটেবল রয়েছে যা হুমকি অভিনেতাদের কীস্ট্রোকগুলি লগ করতে, আপলোড করতে এবং পেলোড চালানোর অনুমতি দেয়৷

"ম্যালওয়্যারটি একটি C2 টানেলিং প্রক্সি হিসাবে কাজ করতে পারে, একটি দূরবর্তী অপারেটরকে অন্য সিস্টেমে পিভট করতে এবং একটি নেটওয়ার্কে আরও এগিয়ে যাওয়ার অনুমতি দেয়," ম্যালওয়্যারের প্রাথমিক সঞ্চালন একটি নির্ধারিত কাজ তৈরি করে যা প্রতি ঘন্টায় চালানোর জন্য সেট করা হয়৷

অন্য একটি অনসাইট ঘটনার প্রতিক্রিয়ায় CISA-এর মতে, তারা শিকার এবং সন্দেহভাজন APT IP ঠিকানার মধ্যে দ্বি-মুখী ট্রাফিক পর্যবেক্ষণ করেছে।

আক্রমণকারীরা প্রাথমিকভাবে ভিএমওয়্যার হরাইজন সার্ভারে Log4Shell ব্যবহার করে শিকারের উৎপাদন পরিবেশে (কম্পিউটারের একটি সেট যেখানে ব্যবহারকারীর জন্য প্রস্তুত সফ্টওয়্যার বা আপডেট স্থাপন করা হয়) অ্যাক্সেস লাভ করে। পরবর্তীতে CISA পর্যবেক্ষণ করেছে যে প্রতিপক্ষ পার্শ্বীয় মুভমেন্ট সঞ্চালনের জন্য পাওয়ারশেল স্ক্রিপ্ট ব্যবহার করে, একটি সিস্টেমকে দূরবর্তীভাবে নিরীক্ষণ করতে, বিপরীত শেল অর্জন করতে এবং সংবেদনশীল তথ্য বের করে দেওয়ার ক্ষমতা সহ লোডার ম্যালওয়্যার পুনরুদ্ধার এবং কার্যকর করে।

আরও বিশ্লেষণে প্রকাশ করা হয়েছে যে আক্রমণকারীরা সংগঠনের পরীক্ষা এবং উৎপাদন পরিবেশে প্রবেশাধিকার নিয়েছিল জন্য CVE-2022-22954, VMware ওয়ার্কস্পেস ওয়ান অ্যাক্সেস এবং আইডেন্টিটি ম্যানেজারে একটি RCE ত্রুটি৷ ডিঙ্গো জে-স্পাই ওয়েব শেল ইমপ্লান্ট করতে,

ঘটনার প্রতিক্রিয়া এবং প্রশমন

CISA এবং CGCYBER একাধিক পদক্ষেপের সুপারিশ করেছে যেগুলি নেওয়া উচিত যদি একজন প্রশাসক আপোসকৃত সিস্টেমগুলি আবিষ্কার করেন:

1. আপোসকৃত সিস্টেমকে বিচ্ছিন্ন করুন
2. প্রাসঙ্গিক লগ, তথ্য এবং নিদর্শন বিশ্লেষণ করুন.
3. সমস্ত সফ্টওয়্যার আপডেট করা উচিত এবং থেকে প্যাচ করা উচিত।
4. আক্রমণের পৃষ্ঠকে সীমাবদ্ধ করার জন্য অ-প্রয়োজনীয় পাবলিক-ফেসিং হোস্টিং পরিষেবা হ্রাস করুন এবং আক্রমণ থেকে রক্ষা করার জন্য DMZ, কঠোর নেটওয়ার্ক অ্যাক্সেস নিয়ন্ত্রণ এবং WAF প্রয়োগ করুন।
5. মাল্টিফ্যাক্টর অথেন্টিকেশন (MFA), শক্তিশালী পাসওয়ার্ড প্রয়োগ করে এবং ব্যবহারকারীর সীমিত অ্যাক্সেস প্রবর্তন করে আইডেন্টিটি অ্যান্ড অ্যাকসেস ম্যানেজমেন্ট (IAM) এর জন্য সর্বোত্তম অনুশীলন বাস্তবায়ন করার পরামর্শ দেওয়া হয়।