Ranljivost Log4Shell je usmerjena v strežnike VMware za izločanje podatkov

Agencija za kibernetsko varnost in varnost infrastrukture (CISA) in kibernetsko poveljstvo obalne straže (CGCYBER) sta izdala skupno svetovanje opozorilo, da napako Log4Shell zlorabljajo akterji groženj, ki ogrožajo javne strežnike VMware Horizon in Unified Access Gateway (UAG).

VMware Horizon je platforma, ki jo skrbniki uporabljajo za izvajanje in dostavo virtualnih namizij in aplikacij v hibridnem oblaku, medtem ko UAG zagotavlja varen dostop do virov, ki se nahajajo znotraj omrežja.

Glede na CISA v enem primeru akter vnaprejšnje trajne grožnje (APT) ogrozi žrtvino notranje omrežje, zagotovi omrežje za obnovitev po katastrofi in izvleče občutljive informacije. "Kot del tega izkoriščanja so domnevni akterji APT v ogrožene sisteme vsadili zlonamerno programsko opremo za nalaganje z vdelanimi izvedljivimi datotekami, ki omogočajo daljinsko upravljanje in nadzor (C2)," je dodal CISA.

Log4Shell je ranljivost oddaljenega izvajanja kode (RCE), ki vpliva na knjižnico za beleženje, znano kot "Log4j" v Apache. Knjižnico široko uporabljajo različne organizacije, podjetja, aplikacije in storitve.

Analiza napadov

CGCYBER izvaja proaktivno lovljenje na grožnje v organizaciji, ki so jo ogrozili akterji groženj, ki so izrabljali Log4Shell v VMware Horizon. To je razkrilo, da je nasprotnik po pridobitvi začetnega dostopa do sistema žrtve naložil zlonamerno programsko opremo, označeno kot »hmsvc.exe«.

Raziskovalci so analizirali vzorec zlonamerne programske opreme hmsvc.exe in potrdili, da se proces maskira kot zakonita storitev Windows in spremenjena različica programske opreme SysInternals LogonSessions.

Po mnenju raziskovalca se je vzorec zlonamerne programske opreme hmsvc.exe izvajal z najvišjo stopnjo privilegijev v sistemu Windows in je vseboval vdelano izvršljivo datoteko, ki akterjem groženj omogoča beleženje pritiskov tipk, nalaganje in izvajanje uporabnih podatkov.

»Zlonamerna programska oprema lahko deluje kot proxy za tuneliranje C2, kar omogoča oddaljenemu operaterju, da se obrne na druge sisteme in se premakne dlje v omrežje.« Začetna izvedba zlonamerne programske opreme je ustvarila načrtovano nalogo, ki naj bi se izvajala vsako uro.

Po navedbah CISA so v drugem odzivu na incident na kraju samem opazili dvosmerni promet med žrtvijo in domnevnim naslovom IP APT.

Napadalci sprva pridobijo dostop do žrtvinega produkcijskega okolja (niz računalnikov, kjer je nameščena programska oprema ali posodobitev, pripravljena za uporabnika), z izkoriščanjem Log4Shell v nepopravljenih strežnikih VMware Horizon. Kasneje je CISA ugotovila, da nasprotnik uporablja skripte Powershell za izvajanje bočnih premikov, pridobivanje in izvajanje zlonamerne programske opreme za nalaganje z zmožnostjo oddaljenega nadzora sistema, pridobivanja povratne lupine in izločanja občutljivih informacij.

Nadaljnja analiza je pokazala, da so napadalci z dostopom do organizacijskega testnega in proizvodnega okolja izkoristili CVE-2022-22954, napaka RCE v dostopu in upravitelju identitete VMware workspace ONE. za vsaditev spletne lupine Dingo J-spy,

Odziv na incidente in ublažitve

CISA in CGCYBER priporočata več ukrepov, ki jih je treba izvesti, če skrbnik odkrije ogrožene sisteme:

1. Izolirajte ogroženi sistem
2. Analizirajte ustrezen dnevnik, podatke in artefakte.
3. Vso programsko opremo je treba posodobiti in popraviti iz .
4. Zmanjšajte nebistveno javno dostopno storitev gostovanja, da omejite površino napadov in implementirate DMZ, strog nadzor dostopa do omrežja in WAF za zaščito pred napadi.
5. Organizacijam svetujemo, da uvedejo najboljše prakse za upravljanje identitete in dostopa (IAM) z uvedbo večfaktorske avtentikacije (MFA), uveljavitvijo močnih gesel in omejenim dostopom uporabnikov.