Pek çok kuruluşun uzak çalışanlar için kurumsal uygulamalara her yerden, her zaman güvenli erişim sağlamak için kullandığı VMware Horizon sunucuları, Aralık 2021’de açıklanan kritik Apache Log4j uzaktan kod yürütme güvenlik açığından yararlanmak isteyen saldırganlar için popüler bir hedef olmaya devam ediyor.
Bu hafta Sophos’tan araştırmacılar, 19 Ocak 2022’den bugüne kadar savunmasız Horizon sunucularına karşı bir saldırı dalgası gözlemlediklerini söyledi. Saldırıların çoğu, tehdit aktörlerinin JavaX madenci, Jin, z0Miner, XMRig varyantları ve diğer benzer araçlar gibi kripto para birimi madencilerini dağıtma girişimlerini içeriyordu. Ancak diğer birkaç durumda, Sophos, saldırganların güvenliği ihlal edilmiş sistemlere kalıcı erişimi sürdürmek için arka kapılar yüklemeye çalıştıklarını gözlemledi.
Güvenlik sağlayıcısı, analizinin, arka kapı teslim eden saldırganların, diğer tehdit aktörlerine bir ücret karşılığında güvenliği ihlal edilmiş ağlara erişim sağlamak isteyen ilk erişim komisyoncuları (IAB’ler) olduğunu öne sürdüğünü söyledi. Fidye yazılımı operatörleri, son zamanlarda ilk erişim komisyoncularının en büyük müşterilerinden bazıları oldu. Bu nedenle, VMware Horizon’a yönelik mevcut saldırı dalgasının, VMware Horizon sunucusunun yama uygulanmamış sürümlerinde Log4j kusurlarını hedefleyen fidye yazılımı saldırılarının öncüsü olması muhtemeldir. dedi sophos.
Sophos’ta küresel MSP başkan yardımcısı Scott Barlow, “Web kabukları, bazı durumlarda bilinen IAB yöntemleri ve altyapısıyla bağlantılı görünüyor” diyor. “Attıkları mermiler, erişim sattıkları herkese ilk erişim sağlayacak ve ayrıca kimlik bilgilerini toplamak için de kullanılabilir.”
İngiltere Ulusal Sağlık Servisi (NHS), Log4j güvenlik açığını içeren VMware Horizon sunucularını hedefleyen saldırılar hakkında ilk uyarıda bulunanlardan biriydi (CVE-2021-44228).
Ocak ayı uyarısında, NHS DijitalBirleşik Krallık’taki sağlık kuruluşları için BT altyapısı ve hizmetleri geliştiren ve işleten , bilinmeyen bir tehdit aktörünün, güvenliği ihlal edilmiş sistemlere bir Web kabuğu yüklemek için VMware Horizon içine yerleştirilmiş Apache Tomcat hizmetindeki Log4J RCE güvenlik açığından yararlandığını gözlemlediğini söyledi. NHS Digital, saldırganların, fidye yazılımı ve diğer kötü amaçlı yazılımları dağıtmak ve güvenliği ihlal edilmiş sağlık sistemleri ve ağlarından veri çalmak da dahil olmak üzere bir dizi kötü amaçlı etkinliği gerçekleştirmek için Web kabuğunu kullanabileceğini belirtti.
VMware yayınladı Güncellenmiş versiyon Aralık 2021’de bu güvenlik açığını gideren VMware Horizon sunucusunun bir sürümü. Log4j kusurunun ciddiyetini ve kötüye kullanım potansiyelini öne sürerek, teknolojiyi kullanan kuruluşları sabit sürüme yükseltmeye çağırdı. Şirket ayrıca Log4j’nin savunmasız sürümlerini içeren diğer birçok ürün için güncellemeler yayınladı.
CVE-2021-44228 (aka Log4Shell), Apache vakfının Aralık 2021’de ifşa ettiği üç güvenlik açığından en kritik olanıdır. Kusur, birden çok sürümde varsayılan olarak etkinleştirilen bir JNDI (Java Adlandırma ve Dizin Arayüzü) arama özelliğinde bulunur. Log4j 2.0-beta9’dan Log4j 2.14.1’e log4j. Bu güvenlik açığı, saldırganlara güvenlik açığı bulunan bir sistemin tam uzaktan denetimini elde etme yolu sağlar ve hemen hemen her Java uygulamasını etkilediği ve ayrıca istismar edilmesi kolay olduğu için son zamanlarda ortaya çıkan en önemli kusurlardan biri olarak kabul edilir.
Birçoğunun varsaydığının aksine, ifşa edilmesinden bu yana geçen üç ay içinde kusurdan kaynaklanan, kamuya açık olarak bilinen pek çok büyük uzlaşma olmadı. Yine de çok sayıda güvenlik uzmanı, çoğu kuruluş için tespit edilmesi ve düzeltilmesi ne kadar zor olduğu için saldırganların önümüzdeki yıllarda kusuru hedeflemeye devam edeceğini bekliyor.
Saldırganların, izinsiz girişleri henüz keşfetmemiş birçok kuruluşa erişim sağlamak için zaten kusurdan yararlandığına dair önemli bir korku var.
Web Kabukları ve Kripto Madencileri
Sophos, analizinin bazı durumlarda saldırganların, Cobalt Strike ters kabuk aracını virüslü sistemlere bırakmak için bir PowerShell betiği yürütmek için Tomcat hizmetindeki güvenlik açığından yararlandığını gösterdiğini söyledi. Diğer durumlarda, saldırganlar Cobalt Strike’ı atladılar ve Web kabuğunu düşürmek için VMware Horizon’daki Tomcat sunucusunu hedef aldılar.
Sophos, “Bu kampanyalar tarafından hedeflenen Horizon ana bilgisayarlarına dağıtılan birkaç farklı yük bulduk.” Dedi.
Bunlar arasında kripto para madencileri ve Atera aracısı ve Splashtop Streamer gibi meşru ürünler de dahil olmak üzere birkaç arka kapı vardı.
Barlow, “Bunlar ticari uzaktan yönetim araçlarıdır” diyor. “Bunlar, aracı aracılığıyla herhangi bir yazılımı güvenli bir şekilde dağıtmak ve başlatmak için kullanılabildiklerinden ve yasal kaynaklardan geliyormuş gibi göründüklerinden, fidye yazılımı operatörleri tarafından sıklıkla kötüye kullanılıyorlar.”
Barlow, kuruluşların yazılımlarını tam olarak gözden geçirmelerini ve Log4Shell’e karşı hala adreslenmemiş güvenlik açıklarına sahip olup olmadıklarını belirlemelerini önerir. “Ayrıca, bu saldırılar yazılım yaması yapıldıktan sonra bile arka kapıları açık bırakabileceğinden, daha önce gerçekleşmiş tüm ihlalleri taramaları gerekiyor.”