CISA 警告说,威胁行为者正在加大对 VMware 服务器中未修补的 Log4Shell 漏洞的攻击。
网络安全和基础设施安全局 (CISA) 和海岸警卫队网络司令部 (CGCYBER) 发布了 联合咨询 警告 Log4Shell 漏洞正在被威胁攻击者滥用,这些攻击者正在危害面向公众的 VMware Horizon 和统一访问网关 (UAG) 服务器。
VMware Horizon 是管理员用来在混合云中运行和交付虚拟桌面和应用程序的平台,而 UAG 提供对网络内资源的安全访问。
根据 CISA 的说法,在一种情况下,高级持续威胁 (APT) 攻击者会破坏受害者的内部网络,获取灾难恢复网络并提取敏感信息。 “作为这种利用的一部分,可疑的 APT 参与者在受感染的系统上植入了加载程序恶意软件,该系统具有可实现远程命令和控制 (C2) 的嵌入式可执行文件,”CISA 补充说。
Log4Shell 是一个远程代码执行 (RCE) 漏洞,影响 Apache 中称为“Log4j”的日志库。 该库被各种组织、企业、应用程序和服务广泛使用。
攻击分析
CGCYBER 在一个被利用 VMware Horizon 中的 Log4Shell 的威胁行为者入侵的组织中进行主动威胁搜寻活动。 这表明,在获得对受害者系统的初始访问权限后,攻击者上传了一个名为“hmsvc.exe”的恶意软件。
研究人员分析了 hmsvc.exe 恶意软件的样本,并确认该进程伪装成合法的 Windows 服务和 SysInternals LogonSessions 软件的更改版本。
根据研究人员的说法,hmsvc.exe 恶意软件样本在 Windows 系统上以最高权限级别运行,并包含一个嵌入式可执行文件,允许攻击者记录击键、上传和执行有效负载。
“恶意软件可以充当 C2 隧道代理,允许远程操作员转向其他系统并进一步进入网络,”恶意软件的初始执行创建了一个计划任务,该任务设置为每小时执行一次。
根据 CISA 在另一场现场事件响应活动中的说法,他们观察到受害者与可疑 APT IP 地址之间的双向流量。
攻击者最初通过在未打补丁的 VMware Horizon 服务器中利用 Log4Shell 来访问受害者的生产环境(一组部署了用户就绪软件或更新的计算机)。 后来 CISA 观察到,攻击者使用 Powershell 脚本执行横向移动、检索和执行加载程序恶意软件,具有远程监控系统、获取反向 shell 和泄露敏感信息的能力。
进一步分析表明,可以访问组织测试和生产环境的攻击者利用 CVE-2022-22954,VMware 工作区 ONE 访问和身份管理器中的 RCE 缺陷。 植入 Dingo J-spy 网络外壳,
事件响应和缓解
CISA 和 CGCYBER 建议在管理员发现受损系统时应采取的多项措施:
- 隔离受损系统
- 分析相关的日志、数据和工件。
- 所有软件都应该从 .
- 减少非必要的面向公众的托管服务以限制攻击面并实施 DMZ、严格的网络访问控制和 WAF 以防止攻击。
- 建议组织通过引入多因素身份验证 (MFA)、强制使用强密码和限制用户访问来实施身份和访问管理 (IAM) 的最佳实践。