Birleşik Krallık Ulusal Sağlık Hizmetindeki (NHS) dijital güvenlik ekibi, yamasız olarak Log4Shell güvenlik açıklarının aktif olarak kullanılması konusunda alarm verdi. VMware Ufuk bilinmeyen bir tehdit aktörü tarafından kötü niyetli web kabuklarını düşürmek ve takip eden saldırılar için etkilenen ağlarda kalıcılık sağlamak için sunucular.
Bakanlıktan bağımsız kamu kuruluşu, “Saldırı büyük olasılıkla, saldırganın kötü amaçlı altyapıyı geri çağırmak için Log4Shell yükleri aracılığıyla Java Adlandırma ve Dizin ArabirimiTM’yi (JNDI) kullandığı bir keşif aşamasından oluşuyor.” söz konusu bir uyarıda. “Bir zayıflık tespit edildiğinde, saldırı, VM Blast Secure Gateway hizmetine bir web kabuğu enjekte eden kötü amaçlı bir Java sınıfı dosyasını almak ve yürütmek için Hafif Dizin Erişim Protokolü’nü (LDAP) kullanır.”
Web kabuğu, bir kez dağıtıldığında, ek kötü amaçlı yazılımların dağıtılması, veri sızdırılması veya fidye yazılımının dağıtılması gibi çok sayıda kullanım sonrası etkinliği gerçekleştirmek için bir kanal görevi görebilir. VMware Horizon 7.x ve 8.x sürümleri, Log4j güvenlik açıklarına karşı savunmasızdır.
Log4Shell, o zamandan beri farklı kötü amaçlı yazılım kampanyalarının bir parçası olarak kullanılmaya başlanan, her yerde bulunan bir açık kaynaklı günlük kaydı çerçevesi olan Apache Log4j 2’de kritik bir rastgele uzaktan kod yürütme kusuru olan CVE-2021-44228 (CVSS puanı: 10.0) için bir istismardır. Aralık 2021’de gün ışığına çıktı. Ulus devlet aktörlerinden fidye yazılımı kartellerine kadar bir dizi bilgisayar korsanlığı grubu, bugüne kadar güvenlik açığına saldırdı.
Bu gelişme aynı zamanda VMware ürünlerinin Log4j kitaplığındaki güvenlik açıklarının bir sonucu olarak ikinci kez istismara maruz kalmasına da işaret ediyor. Geçen ay, AdvIntel araştırmacıları, saldırganların Conti fidye yazılımı yüklemek amacıyla VMware VCenter sunucularını çalıştıran sistemleri hedeflediğini açıkladı.
VMware, kendi adına, zaten yayınlanan güvenlik güncellemeleri Horizon, VCenter ve geçen ay Log4Shell’den etkilenen diğer ürünler için, sanallaştırma hizmetleri sağlayıcısı vahşi tarama girişimlerini kabul etti ve müşterileri herhangi bir olası riske karşı koymak için uygun olduğunda yamaları yüklemeye veya geçici çözümler uygulamaya çağırdı.
.
siber-2