Birkaç siber güvenlik şirketine göre, saldırganlar hala VMware Horizon sunucularını hedef alıyor. Log4J güvenlik açıkları.
İki hafta önce, Birleşik Krallık Ulusal Sağlık Servisi (NHS) yayınladı “Bilinmeyen bir kötü niyetli grubun” bir güvenlik açığından yararlanmaya çalıştığına dair bir uyarı Log4j güvenlik açığı (CVE-2021-44228) VMware Horizon sunucularında. Saldırganların amacı, kötü amaçlı yazılım ve fidye yazılımı dağıtmak, hassas bilgileri çalmak ve diğer kötü niyetli saldırıları gerçekleştirmek için kullanılabilecek web kabukları oluşturmaktır.
O zamandan beri, birkaç siber güvenlik firması, bilgisayar korsanlarının VMware Horizon sunucularını hedef almaya devam ettiğini onayladı. bir açıklamada ZDNetVMware, müşterilerini güvenlik danışmanlığında bulunan en son yönergeleri takip etmeye teşvik etmeye devam ettiğini söyledi. VMSA-2021-0028CVE-2021-44228 ve CVE-2021-4504 güvenlik açıklarını gidermek için.
“Müşterilerin belgemize başvurmalarını da öneririz. Sorular en son bilgiler ve e-posta listesine abone olmak için Güvenlik-Duyuru gelecekteki tüm bildirimler için VMware’den. Log4j CVE-2021-44228 ve CVE-2021-4504 güvenlik açıkları için henüz yama uygulanmamış herhangi bir İnternet bağlantılı hizmet, bilgisayar korsanlarına karşı savunmasızdır ve VMware, yama yapılmasını şiddetle tavsiye eder” dedi. vmware.
Bir seçim hedefi
hızlı7 söz konusu 14 Ocak’ta VMware Horizon istismarında ani bir artış görmek ve saldırganların istismardan sonra izlediği beş benzersiz yolu belirlemek, bu büyük istismar etkinliğine birden fazla aktörün dahil olduğunu gösteriyor.
Rapid7, “En yaygın etkinlikte, saldırgan PowerShell’i çalıştırır ve sisteme kripto para madenciliği yazılımını indirmek için yerleşik System.Net.WebClient nesnesini kullanır” diye açıklıyor.
avcı yayınladı Shodan’a göre şu anda dünya çapında yaklaşık 25.000 Horizon sunucusuna internet üzerinden erişilebilir.
Huntress’teki operasyonlardan sorumlu başkan yardımcısı Roger Koehler, ZDNet’e NHS makalesinin sorunun ölçeği hakkında bir fikir vermediğini söyledi.
“Veritabanımızdaki yama uygulanmamış Horizon sunucularının sayısı göz önüne alındığında (geçen Cuma gecesi yalnızca %18’ine yama uygulandı), yüzlerce, hatta binlerce işletme için yüksek bir etki riski var. Bu hafta sonu aynı zamanda ilk kez kanıtımız var. Koehler, “İlk erişim elde etmekten Horizon sunucularında düşmanca eylemler başlatmaya kadar yaygın bir artış” dedi.
“Birden fazla, muhtemelen alakasız kampanyalar gördüğümüz göz önüne alındığında (kripto para birimleri, web kabukları, Kobalt Strike), tırmanmanın devam etmesi muhtemeldir. Saldırganlar şirketlere yaptırım uygulamamanın bedelini ödeyecektir. – vadeli erişim, gelecekteki etkinliğin muhtemelen VMware Horizon aracılığıyla erişilen sistemleri hedeflemeye veya etkilemeye odaklanması mantıklı: Saldırganlar bu erişimi tüm sanallaştırılmış ana bilgisayarları ve sunucuları etkilemek için kullanabilir.”
Yan etkiler
Microsoft araştırmacıları ayrıca Log4J güvenlik açıklarıyla ilgili kampanyaları izlerken SolarWinds Serv-U yazılımında daha önce açıklanmayan bir güvenlik açığı keşfetti.
Jonathan Bar Altın açıkladı Twitter’da Log4J istismar girişimini araştırırken serv-u.exe’den gelen saldırıları fark ettiğini söyledi.
“Solarwinds hemen yanıt verdi, #güvenlik açığını araştırdı ve düzeltti. Yanıtları, gördüğüm en hızlı yanıt, onlardan gerçekten harika bir iş çıktı!”
Microsoft daha sonra bir Blog yazısı olarak tanımlanan sorun üzerinde CVE-2021-35247. Yayıncı, bunun “saldırganların belirli bir girdiden istek oluşturmasına ve bu isteği temizlemeden ağ üzerinden göndermesine izin verebilecek bir girdi doğrulama güvenlik açığı” olduğunu açıklıyor.
onun fikirSolarWinds, LDAP kimlik doğrulaması için Serv-U web oturum açma ekranının doğrulanmamış karakterlere izin verdiğini söyledi.
“SolarWinds, ek doğrulama ve temizleme gerçekleştirmek için giriş mekanizmasını güncelledi. LDAP sunucuları yanlış karakterleri görmezden geldiği için hiçbir aşağı akış etkisi tespit edilmedi,” diyen şirket, hatanın 15.2.5 ve önceki sürümleri etkilediğini de sözlerine ekledi.
Kaynak: “ZDNet.com”