CISA نے انتباہ کیا ہے کہ دھمکی دینے والے اداکار VMware سرورز میں بے ترتیب Log4Shell خطرے کے خلاف حملوں کو بڑھا رہے ہیں۔
سائبر سیکیورٹی اینڈ انفراسٹرکچر سیکیورٹی ایجنسی (CISA) اور کوسٹ گارڈ سائبر کمانڈ (CGCYBER) نے ایک جاری کیا مشترکہ مشاورتی Log4Shell کی خرابی کا انتباہ دھمکی دینے والے اداکاروں کے ذریعہ غلط استعمال کیا جا رہا ہے جو عوام کا سامنا کرنے والے VMware Horizon اور Uniified Access Gateway (UAG) سرورز سے سمجھوتہ کر رہے ہیں۔
VMware Horizon ایک ایسا پلیٹ فارم ہے جسے منتظمین ہائبرڈ کلاؤڈ میں ورچوئل ڈیسک ٹاپس اور ایپس کو چلانے اور فراہم کرنے کے لیے استعمال کرتے ہیں، جبکہ UAG نیٹ ورک کے اندر موجود وسائل تک محفوظ رسائی فراہم کرتا ہے۔
CISA کے مطابق، ایک مثال میں ایڈوانس پرسسٹنٹ تھریٹ (APT) اداکار متاثرہ کے اندرونی نیٹ ورک سے سمجھوتہ کرتا ہے، ڈیزاسٹر ریکوری نیٹ ورک حاصل کرتا ہے، اور حساس معلومات نکالتا ہے۔ "اس استحصال کے ایک حصے کے طور پر، مشتبہ APT اداکاروں نے ریموٹ کمانڈ اینڈ کنٹرول (C2) کو فعال کرنے والے ایمبیڈڈ ایگزیکیوٹیبلز کے ساتھ سمجھوتہ شدہ سسٹمز پر لوڈر میلویئر لگا دیا،" CISA نے مزید کہا۔
لاگ 4 شیل Apache میں "Log4j" کے نام سے مشہور لاگنگ لائبریری کو متاثر کرنے والا ایک ریموٹ کوڈ ایگزیکیوشن (RCE) کمزوری ہے۔ لائبریری وسیع پیمانے پر مختلف تنظیموں، کاروباری اداروں، ایپلی کیشنز اور خدمات کے ذریعہ استعمال ہوتی ہے۔
حملے کا تجزیہ
CGCYBER ایک ایسی تنظیم میں خطرے کا شکار کرنے کی ایک فعال مصروفیت کا انعقاد کرتا ہے جس سے VMware Horizon میں Log4Shell کا استحصال کرنے والے دھمکی آمیز اداکاروں نے سمجھوتہ کیا تھا۔ اس سے انکشاف ہوا کہ شکار کے نظام تک ابتدائی رسائی حاصل کرنے کے بعد، مخالف نے "hmsvc.exe" کے نام سے شناخت شدہ میلویئر اپ لوڈ کیا۔
محققین نے hmsvc.exe میلویئر کے نمونے کا تجزیہ کیا اور تصدیق کی کہ یہ عمل ایک جائز Windows سروس اور SysInternals LogonSessions سافٹ ویئر کے تبدیل شدہ ورژن کے طور پر چھپا رہا ہے۔
محقق کے مطابق hmsvc.exe کا میلویئر ونڈوز سسٹم پر سب سے زیادہ مراعات کی سطح کے ساتھ چل رہا تھا اور اس میں ایک ایمبیڈڈ ایگزیکیوٹیبل ہے جو دھمکی دینے والے اداکاروں کو کی اسٹروکس کو لاگ کرنے، اپ لوڈ کرنے اور پے لوڈز کو انجام دینے کی اجازت دیتا ہے۔
"مالویئر ایک C2 ٹنلنگ پراکسی کے طور پر کام کر سکتا ہے، جس سے ایک ریموٹ آپریٹر دوسرے سسٹمز میں محور ہو سکتا ہے اور ایک نیٹ ورک میں مزید آگے بڑھ سکتا ہے،" میلویئر کے ابتدائی عمل نے ایک طے شدہ کام تخلیق کیا جو ہر گھنٹے پر عمل درآمد کے لیے مقرر ہے۔
CISA کے مطابق ایک اور موقع پر ہونے والے واقعے کے ردعمل میں، انہوں نے متاثرہ اور مشتبہ APT IP ایڈریس کے درمیان دو طرفہ ٹریفک کا مشاہدہ کیا۔
حملہ آور ابتدائی طور پر متاثرہ کے پیداواری ماحول تک رسائی حاصل کرتے ہیں (کمپیوٹرز کا ایک سیٹ جہاں صارف کے لیے تیار سافٹ ویئر یا اپ ڈیٹ تعینات کیا جاتا ہے)، بغیر پیچ شدہ VMware Horizon سرورز میں Log4Shell کا استحصال کر کے۔ بعد میں CISA نے مشاہدہ کیا کہ مخالف پاورشیل اسکرپٹس کا استعمال پس منظر کی نقل و حرکت کرنے، لوڈر میلویئر کو بازیافت کرنے اور اس پر عمل درآمد کرنے کی صلاحیت کے ساتھ نظام کی دور سے نگرانی کرنے، ریورس شیل حاصل کرنے اور حساس معلومات کو نکالنے کے لیے کرتا ہے۔
مزید تجزیے سے یہ بات سامنے آئی کہ تنظیم کے ٹیسٹ اور پیداواری ماحول تک رسائی کے حامل حملہ آوروں نے فائدہ اٹھایا CVE-2022-22954, VMware ورک اسپیس ONE رسائی اور شناختی مینیجر میں ایک RCE خامی۔ ڈنگو جے جاسوس ویب شیل لگانے کے لیے،
واقعہ کا ردعمل اور تخفیف
CISA اور CGCYBER نے متعدد اقدامات کی سفارش کی ہے جو اگر کسی منتظم کو سمجھوتہ شدہ نظاموں کا پتہ چلتا ہے تو کیا جانا چاہئے:
- سمجھوتہ کرنے والے نظام کو الگ کریں۔
- متعلقہ لاگ، ڈیٹا اور نمونے کا تجزیہ کریں۔
- تمام سافٹ ویئر کو اپ ڈیٹ کیا جانا چاہئے اور سے پیچ کیا جانا چاہئے۔
- حملے کی سطح کو محدود کرنے اور حملے سے بچانے کے لیے DMZ، سخت نیٹ ورک ایکسیس کنٹرول، اور WAF کو لاگو کرنے کے لیے غیر ضروری عوامی ہوسٹنگ سروس کو کم کریں۔
- تنظیموں کو مشورہ دیا جاتا ہے کہ وہ شناخت اور رسائی کے انتظام (IAM) کے لیے ملٹی فیکٹر توثیق (MFA) متعارف کروا کر، مضبوط پاس ورڈ نافذ کر کے، اور صارف کی محدود رسائی کے لیے بہترین طریقوں کو نافذ کریں۔
