Log4Shell-haavoittuvuus VMware-palvelimissa tietojen suodattamiseen

Cybersecurity and Infrastructure Security Agency (CISA) ja Coast Guard Cyber ​​Command (CGCYBER) julkaisivat yhteinen neuvonta varoittaa Log4Shell-virheestä, että uhkatoimijat käyttävät väärin, jotka vaarantavat julkisia VMware Horizon- ja Unified Access Gateway (UAG) -palvelimia.

VMware Horizon on alusta, jota järjestelmänvalvojat käyttävät virtuaalisten työasemien ja sovellusten ajamiseen ja toimittamiseen hybridipilvessä, kun taas UAG tarjoaa turvallisen pääsyn verkon sisällä oleviin resursseihin.

CISA:n mukaan APT (Advance Persistent Feh) toimija yhdessä tapauksessa vaarantaa uhrin sisäisen verkon, hankkii hätäpalautusverkon ja poimii arkaluonteisia tietoja. "Osa tätä hyväksikäyttöä epäillyt APT-toimijat istuttivat lataushaittaohjelmia vaarantuneisiin järjestelmiin, joissa oli sulautettuja suoritettavia tiedostoja, jotka mahdollistavat etäkomennon ja -hallinnan (C2)," CISA lisäsi.

Log4Shell on koodin etäsuorittamisen (RCE) haavoittuvuus, joka vaikuttaa lokikirjastoon, joka tunnetaan nimellä "Log4j" Apachessa. Kirjasto on laajalti eri organisaatioiden, yritysten, sovellusten ja palveluiden käytössä.

Hyökkäysanalyysi

CGCYBER suorittaa ennakoivan uhkien etsintätoimen organisaatiossa, joka vaarantui VMware Horizonissa Log4Shellia hyödyntäneiden uhkatoimijoiden vuoksi. Tämä paljasti, että saatuaan ensimmäisen pääsyn uhrijärjestelmään, vastustaja latasi haittaohjelman, jonka tunniste on "hmsvc.exe".

Tutkijat analysoivat otoksen hmsvc.exe-haittaohjelmasta ja vahvistivat, että prosessi naamioitui lailliseksi Windows-palveluksi ja SysInternals LogonSessions -ohjelmiston muunnetuksi versioksi.

Tutkijan otoksen mukaan hmsvc.exe-haittaohjelma oli käynnissä korkeimmalla käyttöoikeustasolla Windows-järjestelmässä ja sisältää sulautetun suoritettavan tiedoston, jonka avulla uhkatekijät voivat kirjata näppäinpainalluksia, ladata ja suorittaa hyötykuormia.

"Haittaohjelma voi toimia C2-tunnelointivälityspalvelimena, jolloin etäoperaattori voi kääntyä muihin järjestelmiin ja siirtyä pidemmälle verkkoon", Haittaohjelman ensimmäinen suoritus loi ajoitetun tehtävän, joka on asetettu suoritettavaksi tunnin välein.

CISA:n mukaan toisessa paikan päällä tapahtuneessa välikohtaustoiminnassa he havaitsivat kaksisuuntaista liikennettä uhrin ja epäillyn APT-IP-osoitteen välillä.

Hyökkääjät pääsevät aluksi uhrin tuotantoympäristöön (joukko tietokoneita, joissa käyttäjävalmis ohjelmisto tai päivitys on asennettu) hyödyntämällä Log4Shellia korjaamattomissa VMware Horizon -palvelimissa. Myöhemmin CISA havaitsi, että vastustaja käyttää Powershell-skriptejä sivuliikkeiden suorittamiseen, lataushaittaohjelman hakemiseen ja suorittamiseen, jotta se pystyy etävalvomaan järjestelmää, hankkimaan käänteisen kuoren ja suodattamaan arkaluonteisia tietoja.

Lisäanalyysi paljasti, että hyökkääjät, joilla oli pääsy organisaation testi- ja tuotantoympäristöön, hyödynsivät CVE-2022-22954, RCE-virhe VMware-työtilassa ONE Access and Identity Manager. istuttaa Dingo J-spy -verkkokuoren,

Tapahtumat ja niiden lieventäminen

CISA ja CGCYBER suosittelivat useita toimia, jotka tulisi suorittaa, jos järjestelmänvalvoja löytää vaarantuneet järjestelmät:

1. Eristä vaarantunut järjestelmä
2. Analysoi asiaankuuluva loki, tiedot ja esineet.
3. Kaikki ohjelmistot tulee päivittää ja korjata tiedostosta .
4. Vähennä ei-välttämätöntä julkista isännöintipalvelua rajoittaaksesi hyökkäyspintaa ja ota käyttöön DMZ, tiukka verkkokäytön valvonta ja WAF suojataksesi hyökkäyksiltä.
5. Organisaatioita kehotetaan ottamaan käyttöön identiteetin ja käyttöoikeuksien hallinnan (IAM) parhaat käytännöt ottamalla käyttöön monitekijätodennus (MFA), vahvistamalla vahvoja salasanoja ja rajoittamalla käyttäjien pääsyä.