Vulnerabilidade do Log4Shell direcionada em servidores VMware para exfiltrar dados

A Agência de Segurança Cibernética e Infraestrutura (CISA) e o Comando Cibernético da Guarda Costeira (CGCYBER) lançaram um assessoria conjunta alertando que a falha do Log4Shell está sendo abusada por agentes de ameaças que estão comprometendo os servidores VMware Horizon e Unified Access Gateway (UAG) voltados para o público.

O VMware Horizon é uma plataforma usada por administradores para executar e entregar desktops e aplicativos virtuais na nuvem híbrida, enquanto o UAG fornece acesso seguro aos recursos que residem em uma rede.

De acordo com a CISA, em um caso, o agente de ameaça persistente avançada (APT) compromete a rede interna da vítima, obtém uma rede de recuperação de desastres e extrai informações confidenciais. “Como parte dessa exploração, suspeitos de APT implantaram malware de carregador em sistemas comprometidos com executáveis ​​incorporados, permitindo comando e controle remoto (C2)”, acrescentou a CISA.

Log4Shell é uma vulnerabilidade de execução remota de código (RCE) que afeta a biblioteca de log conhecida como “Log4j” no Apache. A biblioteca é amplamente utilizada por várias organizações, empresas, aplicativos e serviços.

Análise de Ataque

O CGCYBER conduz um envolvimento proativo de caça a ameaças em uma organização que foi comprometida pelos agentes de ameaças que exploraram o Log4Shell no VMware Horizon. Isso revelou que, após obter acesso inicial ao sistema da vítima, o adversário carregou um malware identificado como “hmsvc.exe”.

Os pesquisadores analisaram a amostra do malware hmsvc.exe e confirmaram que o processo se disfarça como um serviço legítimo do Windows e uma versão alterada do software SysInternals LogonSessions.

De acordo com a amostra do pesquisador, o malware hmsvc.exe estava sendo executado com o nível de privilégio mais alto em um sistema Windows e contém um executável incorporado que permite que os agentes de ameaças registrem pressionamentos de tecla, carreguem e executem cargas úteis.

“O malware pode funcionar como um proxy de encapsulamento C2, permitindo que um operador remoto gire para outros sistemas e avance em uma rede.” A execução inicial do malware criou uma tarefa agendada que é definida para ser executada a cada hora.

De acordo com a CISA em outro compromisso de resposta a incidentes no local, eles observaram tráfego bidirecional entre a vítima e o endereço IP do APT suspeito.

Os invasores inicialmente obtêm acesso ao ambiente de produção da vítima (um conjunto de computadores onde o software pronto para o usuário ou a atualização são implantados), explorando o Log4Shell em servidores VMware Horizon sem patches. Mais tarde, a CISA observou que o adversário usa scripts Powershell para realizar movimentos laterais, recuperar e executar o malware do carregador com a capacidade de monitorar remotamente um sistema, obter shell reverso e exfiltrar informações confidenciais.

Uma análise mais aprofundada revelou que os invasores com acesso ao ambiente de teste e produção da organização aproveitaram CVE-2022-22954, uma falha RCE no acesso VMware Workspace ONE e no gerenciador de identidades. para implantar o web shell Dingo J-spy,

Resposta a Incidentes e Mitigações

A CISA e a CGCYBER recomendaram várias ações que devem ser tomadas se um administrador descobrir sistemas comprometidos:

1. Isolar o sistema comprometido
2. Analise o log, dados e artefatos relevantes.
3. Todos os softwares devem ser atualizados e corrigidos a partir do .
4. Reduza o serviço de hospedagem não essencial voltado para o público para restringir a superfície de ataque e implemente DMZ, controle de acesso à rede rigoroso e WAF para proteção contra ataques.
5. As organizações são aconselhadas a implementar as melhores práticas para gerenciamento de identidade e acesso (IAM) introduzindo a autenticação multifator (MFA), impondo senhas fortes e acesso limitado do usuário.