Kerentanan Log4Shell Ditargetkan di Server VMware untuk Mengeksfiltrasi Data

Cybersecurity and Infrastructure Security Agency (CISA) dan Coast Guard Cyber ​​Command (CGCYBER) merilis a penasihat bersama memperingatkan kelemahan Log4Shell sedang disalahgunakan oleh aktor ancaman yang membahayakan server VMware Horizon dan Unified Access Gateway (UAG) yang menghadap publik.

VMware Horizon adalah platform yang digunakan oleh administrator untuk menjalankan dan menghadirkan desktop dan aplikasi virtual di cloud hybrid, sementara UAG menyediakan akses aman ke sumber daya yang berada di dalam jaringan.

Menurut CISA, dalam satu contoh aktor ancaman persisten lanjutan (APT) mengkompromikan jaringan internal korban, mendapatkan jaringan pemulihan bencana, dan mengekstrak informasi sensitif. “Sebagai bagian dari eksploitasi ini, pelaku APT yang dicurigai menanamkan malware pemuat pada sistem yang disusupi dengan executable tertanam yang memungkinkan perintah dan kontrol jarak jauh (C2),” tambah CISA.

Log4Shell adalah kerentanan eksekusi kode jarak jauh (RCE) yang memengaruhi pustaka logging yang dikenal sebagai "Log4j" di Apache. Perpustakaan banyak digunakan oleh berbagai organisasi, perusahaan, aplikasi, dan layanan.

Analisis Serangan

CGCYBER melakukan keterlibatan berburu ancaman proaktif di sebuah organisasi yang disusupi oleh aktor ancaman yang mengeksploitasi Log4Shell di VMware Horizon. Ini mengungkapkan bahwa setelah mendapatkan akses awal ke sistem korban, musuh mengunggah malware yang diidentifikasi sebagai "hmsvc.exe".

Para peneliti menganalisis sampel malware hmsvc.exe dan mengonfirmasi bahwa proses tersebut menyamar sebagai layanan Windows yang sah dan versi perangkat lunak SysInternals LogonSessions yang diubah.

Menurut sampel peneliti malware hmsvc.exe berjalan dengan tingkat hak istimewa tertinggi pada sistem Windows dan berisi executable tertanam yang memungkinkan aktor ancaman untuk mencatat penekanan tombol, mengunggah, dan mengeksekusi muatan.

“Malware dapat berfungsi sebagai proxy tunneling C2, memungkinkan operator jarak jauh untuk berporos ke sistem lain dan bergerak lebih jauh ke dalam jaringan,” Eksekusi awal malware menciptakan tugas terjadwal yang diatur untuk dieksekusi setiap jam.

Menurut CISA dalam keterlibatan respon insiden di tempat lain, mereka mengamati lalu lintas dua arah antara korban dan alamat IP APT yang dicurigai.

Penyerang pada awalnya mendapatkan akses ke lingkungan produksi korban (satu set komputer di mana perangkat lunak siap-pengguna atau pembaruan disebarkan), dengan mengeksploitasi Log4Shell di server VMware Horizon yang belum ditambal. Kemudian CISA mengamati bahwa musuh menggunakan skrip Powershell untuk melakukan gerakan lateral, mengambil dan mengeksekusi malware pemuat dengan kemampuan untuk memantau sistem dari jarak jauh, mendapatkan cangkang terbalik dan mengekstrak informasi sensitif.

Analisis lebih lanjut mengungkapkan bahwa penyerang dengan akses ke pengujian organisasi dan lingkungan produksi dimanfaatkan CVE-2022-22954, cacat RCE di VMware workspace ONE access dan Identity manager. untuk menanamkan cangkang web Dingo J-spy,

Respon dan Mitigasi Insiden

CISA dan CGCYBER merekomendasikan beberapa tindakan yang harus diambil jika administrator menemukan sistem yang disusupi:

1. Isolasi sistem yang disusupi
2. Analisis log, data, dan artefak yang relevan.
3. Semua perangkat lunak harus diperbarui dan ditambal dari file .
4. Kurangi layanan hosting publik yang tidak penting untuk membatasi permukaan serangan dan menerapkan DMZ, kontrol akses jaringan yang ketat, dan WAF untuk melindungi dari serangan.
5. Organisasi disarankan untuk menerapkan praktik terbaik untuk manajemen identitas dan akses (IAM) dengan memperkenalkan otentikasi multifaktor (MFA), menerapkan kata sandi yang kuat, dan membatasi akses pengguna.