Vulnerabilità di Log4Shell mirata nei server VMware per esfiltrare i dati

La Cybersecurity and Infrastructure Security Agency (CISA) e il Coast Guard Cyber ​​Command (CGCYBER) hanno rilasciato a consulenza congiunta avvertendo che il difetto di Log4Shell viene abusato dagli attori delle minacce che stanno compromettendo i server VMware Horizon e Unified Access Gateway (UAG) rivolti al pubblico.

VMware Horizon è una piattaforma utilizzata dagli amministratori per eseguire e distribuire desktop e app virtuali nel cloud ibrido, mentre UAG fornisce un accesso sicuro alle risorse che risiedono all'interno di una rete.

Secondo la CISA, in un caso l'attore APT (Advanced Persistent Threat) compromette la rete interna della vittima, procura una rete di ripristino di emergenza ed estrae informazioni sensibili. "Come parte di questo sfruttamento, sospetti attori APT hanno impiantato malware di caricamento su sistemi compromessi con eseguibili incorporati che consentono il comando e il controllo remoti (C2)", ha aggiunto CISA.

Log4Shell è una vulnerabilità di esecuzione di codice remoto (RCE) che interessa la libreria di registrazione nota come "Log4j" in Apache. La libreria è ampiamente utilizzata da varie organizzazioni, aziende, applicazioni e servizi.

Analisi dell'attacco

Il CGCYBER conduce un impegno proattivo di caccia alle minacce presso un'organizzazione che è stata compromessa dagli attori delle minacce che hanno sfruttato Log4Shell in VMware Horizon. Ciò ha rivelato che dopo aver ottenuto l'accesso iniziale al sistema della vittima, l'avversario ha caricato un malware identificato come "hmsvc.exe".

I ricercatori hanno analizzato il campione del malware hmsvc.exe e hanno confermato che il processo si mascherava come un servizio Windows legittimo e una versione alterata del software SysInternals LogonSessions.

Secondo il campione di ricerca di hmsvc.exe, il malware era in esecuzione con il livello di privilegio più alto su un sistema Windows e contiene un eseguibile incorporato che consente agli attori delle minacce di registrare sequenze di tasti, caricare ed eseguire payload.

"Il malware può funzionare come un proxy di tunneling C2, consentendo a un operatore remoto di passare ad altri sistemi e spostarsi ulteriormente in una rete", l'esecuzione iniziale del malware ha creato un'attività pianificata che è impostata per essere eseguita ogni ora.

Secondo la CISA in un altro impegno di risposta agli incidenti in loco, hanno osservato il traffico bidirezionale tra la vittima e il sospetto indirizzo IP dell'APT.

Gli aggressori inizialmente ottengono l'accesso all'ambiente di produzione della vittima (un insieme di computer in cui vengono distribuiti il ​​software pronto per l'utente o l'aggiornamento), sfruttando Log4Shell nei server VMware Horizon senza patch. Successivamente CISA ha osservato che l'avversario utilizza gli script Powershell per eseguire movimenti laterali, recuperare ed eseguire il malware del caricatore con la capacità di monitorare in remoto un sistema, ottenere shell inversa ed esfiltrare informazioni sensibili.

Ulteriori analisi hanno rivelato che gli aggressori con accesso all'ambiente di test e produzione dell'organizzazione sfruttavano CVE-2022-22954, un difetto RCE in VMware workspace ONE access e Identity Manager. per impiantare il guscio web di Dingo J-spy,

Risposta agli incidenti e mitigazioni

CISA e CGCYBER consigliano più azioni da intraprendere se un amministratore scopre sistemi compromessi:

1. Isolare il sistema compromesso
2. Analizzare il registro, i dati e gli artefatti rilevanti.
3. Tutto il software dovrebbe essere aggiornato e patchato da .
4. Riduci il servizio di hosting non essenziale rivolto al pubblico per limitare la superficie di attacco e implementare DMZ, rigoroso controllo dell'accesso alla rete e WAF per la protezione dagli attacchi.
5. Si consiglia alle organizzazioni di implementare le migliori pratiche per la gestione dell'identità e dell'accesso (IAM) introducendo l'autenticazione a più fattori (MFA), applicando password complesse e un accesso utente limitato.