CISA hoiatab, et ohus osalejad suurendavad rünnakuid paigatamata Log4Shelli haavatavuse vastu VMware serverites.
Küberturvalisuse ja infrastruktuuri turvaagentuur (CISA) ja rannavalve küberjuhatus (CGCYBER) avaldasid ühine nõuanne hoiatus, et Log4Shelli viga kuritarvitavad ohus osalejad, kes rikuvad avalikkusele suunatud VMware Horizoni ja Unified Access Gateway (UAG) servereid.
VMware Horizon on platvorm, mida administraatorid kasutavad hübriidpilves virtuaalsete töölaudade ja rakenduste käitamiseks ja edastamiseks, samas kui UAG pakub turvalist juurdepääsu võrgus asuvatele ressurssidele.
CISA kohaselt rikub APT (Advance Persistent Oh) toimija ühel juhul ohvri sisevõrku, hangib avariitaastevõrgu ja eraldab tundlikku teavet. "Selle ärakasutamise osana implanteerisid kahtlustatavad APT osalejad laaduri pahavara ohustatud süsteemidesse, mille sisseehitatud käivitatavad failid võimaldavad kaugkäsklusi ja -juhtimist (C2), " lisas CISA.
Log4Shell on koodi kaugkäivitamise (RCE) haavatavus, mis mõjutab Apache'is "Log4j" nime all tuntud logimise teeki. Raamatukogu kasutavad laialdaselt erinevad organisatsioonid, ettevõtted, rakendused ja teenused.
Rünnakute analüüs
CGCYBER viib läbi ennetava ohtude otsimise organisatsioonis, mis sattus ohtu VMware Horizonis Log4Shelli ära kasutanud ohus osalejate poolt. See paljastas, et pärast ohvri süsteemile esmase juurdepääsu saamist laadis vastane üles pahavara, mille nimi oli "hmsvc.exe".
Teadlased analüüsisid hmsvc.exe pahavara näidist ja kinnitasid, et protsess on maskeeritud seadusliku Windowsi teenusena ja SysInternals LogonSessionsi tarkvara muudetud versioonina.
Uurija näidise kohaselt töötas hmsvc.exe pahavara Windowsi süsteemis kõrgeima õigustasemega ja sisaldab manustatud täitmisfaili, mis võimaldab ohus osalejatel klahvivajutusi logida, kasulikke koormusi üles laadida ja käivitada.
"Pahavara võib toimida C2 tunneli puhverserverina, võimaldades kaugoperaatoril pöörduda teiste süsteemide poole ja liikuda edasi võrku," Pahavara esmane käivitamine lõi ajastatud ülesande, mis on seatud täitma iga tund.
Vastavalt CISA teisele kohapealsele intsidentidele reageerimise töövõtule jälgisid nad kahesuunalist liiklust ohvri ja kahtlustatava APT IP-aadressi vahel.
Ründajad saavad algselt juurdepääsu ohvri tootmiskeskkonnale (arvutite komplekt, kuhu on juurutatud kasutajavalmis tarkvara või värskendus), kasutades ära paigatamata VMware Horizon serverites Log4Shelli. Hiljem täheldas CISA, et vastane kasutab Powershelli skripte külgsuunaliste liikumiste tegemiseks, laadija pahavara hankimiseks ja käivitamiseks, mis võimaldab süsteemi kaugjälgida, saada vastupidist kesta ja välja filtreerida tundlikku teavet.
Täiendav analüüs näitas, et ründajad, kellel on juurdepääs organisatsiooni testimis- ja tootmiskeskkonnale, kasutasid võimendust CVE-2022-22954, RCE viga VMware tööruumis ONE juurdepääsu- ja identiteedihaldur. implanteerida Dingo J-spy veebikesta,
Juhtumitele reageerimine ja leevendusmeetmed
CISA ja CGCYBER soovitasid mitut toimingut, mida tuleks teha, kui administraator avastab ohustatud süsteemid:
- Eraldage kahjustatud süsteem
- Analüüsige asjakohast logi, andmeid ja artefakte.
- Kogu tarkvara tuleks värskendada ja paika panna .
- Vähendage ebaolulist avalikkusele suunatud hostimisteenust, et piirata ründepinda ja rakendada DMZ, range võrgu juurdepääsu kontroll ja WAF, et kaitsta rünnakute eest.
- Organisatsioonidel soovitatakse rakendada identiteedi- ja juurdepääsuhalduse (IAM) parimaid tavasid, juurutades mitmefaktorilise autentimise (MFA), jõustades tugevaid paroole ja piirates kasutajate juurdepääsu.
- blockchain
- coingenius
- krüptovaluuta rahakotid
- krüptovahetus
- küberturvalisus
- küberkurjategijad
- Küberturvalisus
- sisejulgeoleku osakond
- digitaalsed rahakotid
- tulemüüri
- Kaspersky
- malware
- mcafee
- NexBLOC
- Platon
- plato ai
- Platoni andmete intelligentsus
- Platoni mäng
- PlatoData
- platogaming
- VPN
- Haavatavused
- kodulehel turvalisus
- sephyrnet
