آسیب پذیری Log4Shell در سرورهای VMware برای استخراج داده ها مورد هدف قرار گرفته است

آژانس امنیت سایبری و امنیت زیرساخت (CISA) و فرماندهی سایبری گارد ساحلی (CGCYBER) گزارشی منتشر کردند. مشاوره مشترک هشدار می دهد که نقص Log4Shell توسط عوامل تهدید مورد سوء استفاده قرار می گیرد که سرورهای VMware Horizon و Unified Access Gateway (UAG) را در معرض خطر قرار می دهند.

VMware Horizon پلتفرمی است که توسط مدیران برای اجرا و ارائه دسکتاپ‌ها و برنامه‌های مجازی در فضای ابری ترکیبی استفاده می‌شود، در حالی که UAG دسترسی ایمن به منابع موجود در یک شبکه را فراهم می‌کند.

بر اساس CISA، در یک نمونه، عامل تهدید مداوم (APT) شبکه داخلی قربانی را به خطر می اندازد، یک شبکه بازیابی فاجعه را تهیه می کند و اطلاعات حساس را استخراج می کند. CISA افزود: "به عنوان بخشی از این بهره برداری، بازیگران مشکوک APT بدافزار لودر را بر روی سیستم های در معرض خطر با فایل های اجرایی تعبیه شده که فرمان و کنترل از راه دور (C2) را قادر می سازد، کاشته کردند."

Log4Shell یک آسیب‌پذیری اجرای کد از راه دور (RCE) است که بر کتابخانه ورود به سیستم به نام «Log4j» در آپاچی تأثیر می‌گذارد. این کتابخانه به طور گسترده توسط سازمان ها، شرکت ها، برنامه ها و خدمات مختلف استفاده می شود.

تجزیه و تحلیل حمله

CGCYBER یک تعامل پیشگیرانه برای شکار تهدید در سازمانی انجام می دهد که توسط عوامل تهدید که از Log4Shell در VMware Horizon سوء استفاده کردند، در معرض خطر قرار گرفت. این نشان داد که پس از دسترسی اولیه به سیستم قربانی، دشمن یک بدافزار با نام "hmsvc.exe" را آپلود کرد.

محققان نمونه بدافزار hmsvc.exe را تجزیه و تحلیل کردند و تأیید کردند که این فرآیند به عنوان یک سرویس ویندوز قانونی و نسخه تغییر یافته نرم افزار SysInternals LogonSessions ظاهر می شود.

به گفته محقق نمونه بدافزار hmsvc.exe با بالاترین سطح امتیاز در یک سیستم ویندوز اجرا می‌شد و حاوی یک فایل اجرایی تعبیه‌شده است که به عوامل تهدید اجازه می‌دهد تا ضربه‌های کلید را ثبت کنند، بارگذاری کنند و بارگذاری‌ها را اجرا کنند.

«این بدافزار می‌تواند به‌عنوان یک پروکسی تونل‌سازی C2 عمل کند و به اپراتور راه دور اجازه دهد تا به سیستم‌های دیگر حرکت کند و بیشتر به یک شبکه حرکت کند.» اجرای اولیه بدافزار یک وظیفه برنامه‌ریزی‌شده ایجاد کرد که قرار است هر ساعت اجرا شود.

بر اساس گزارش CISA در یکی دیگر از تعاملات پاسخ به حادثه در محل، آنها ترافیک دو طرفه بین قربانی و آدرس IP مشکوک APT را مشاهده کردند.

مهاجمان در ابتدا با سوء استفاده از Log4Shell در سرورهای VMware Horizon وصله نشده، به محیط تولید قربانی (مجموعه ای از رایانه ها که در آن نرم افزار یا به روز رسانی آماده کاربر در آن مستقر است) دسترسی پیدا می کنند. بعداً CISA مشاهده کرد که دشمن از اسکریپت‌های Powershell برای انجام حرکات جانبی، بازیابی و اجرای بدافزار لودر با قابلیت نظارت از راه دور یک سیستم، به دست آوردن پوسته معکوس و استخراج اطلاعات حساس استفاده می‌کند.

تجزیه و تحلیل بیشتر نشان داد که مهاجمان با دسترسی به تست سازمان و محیط تولید از اهرم استفاده می کنند CVE-2022-22954، یک نقص RCE در VMware Workspace ONE Access and Identity manager. برای کاشت پوسته وب دینگو J-spy،

واکنش به حادثه و اقدامات کاهشی

CISA و CGCYBER اقدامات متعددی را توصیه می‌کنند که در صورت کشف سیستم‌های در معرض خطر توسط مدیر، باید انجام شود:

1. سیستم در معرض خطر را جدا کنید
2. گزارش مربوطه، داده ها و مصنوعات را تجزیه و تحلیل کنید.
3. همه نرم افزارها باید به روز شده و وصله شوند.
4. برای محدود کردن سطح حمله و اجرای DMZ، کنترل دسترسی دقیق شبکه، و WAF برای محافظت در برابر حمله، سرویس میزبانی غیر ضروری عمومی را کاهش دهید.
5. به سازمان‌ها توصیه می‌شود که بهترین شیوه‌ها را برای مدیریت هویت و دسترسی (IAM) با معرفی احراز هویت چندعاملی (MFA)، اعمال رمزهای عبور قوی و دسترسی محدود کاربر پیاده‌سازی کنند.