ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Sahil Güvenlik Siber Komutanlığı (CGCYBER) ile birlikte Perşembe günü, tehdit aktörlerinin hedefi ihlal etmek için VMware Horizon sunucularındaki Log4Shell açığından yararlanmaya yönelik devam eden girişimlerine ilişkin ortak bir uyarı uyarısı yayınladı. ağlar.
“Aralık 2021’den bu yana, birden fazla tehdit aktörü grubu, yama uygulanmamış, halka açık VMware Horizon’da Log4Shell’den yararlandı ve [Unified Access Gateway] sunucular,” ajanslar söz konusu. “Bu istismarın bir parçası olarak, şüpheli APT aktörleri, uzaktan komuta ve kontrol (C2) sağlayan gömülü yürütülebilir dosyalarla güvenliği ihlal edilmiş sistemlere yükleyici kötü amaçlı yazılımı yerleştirdi.”
Bir durumda, düşmanın kurban ağı içinde yanal olarak hareket edebildiği, bir felaket kurtarma ağına erişim sağlayabildiği ve hassas kanun uygulama verilerini toplayıp dışarı sızdırdığı söyleniyor.
CVE-2021-44228 (CVSS puanı: 10.0) olarak izlenen Log4Shell, çok çeşitli tüketiciler ve kurumsal hizmetler, web siteleri, uygulamalar ve diğer ürünler tarafından kullanılan Apache Log4j günlük kitaplığını etkileyen bir uzaktan kod yürütme güvenlik açığıdır.
Kusurun başarılı bir şekilde kullanılması, bir saldırganın etkilenen bir sisteme özel olarak hazırlanmış bir komut göndermesini sağlayarak aktörlerin kötü niyetli kod yürütmesini ve hedefin kontrolünü ele geçirmesini sağlayabilir.
Ajanslar, iki olay müdahale girişiminin bir parçası olarak toplanan bilgilere dayanarak, saldırganların, PowerShell komut dosyaları ve tuş vuruşlarını günlüğe kaydetme ve ek dağıtma yetenekleriyle donatılmış “hmsvc.exe” adlı bir uzaktan erişim aracı da dahil olmak üzere sahte yükleri düşürmek için istismarı silahlandırdığını söyledi. kötü amaçlı yazılım
Ajanslar, “Kötü amaçlı yazılım, uzak bir operatörün diğer sistemlere dönmesine ve bir ağa daha fazla hareket etmesine izin vererek, bir C2 tünelleme proxy’si olarak işlev görebilir.” masaüstü.”
İkinci bir kuruluşun üretim ortamında gözlemlenen PowerShell komut dosyaları, yanal hareketi kolaylaştırarak, APT aktörlerinin bir sistemin masaüstünü uzaktan izleme, ters kabuk erişimi elde etme, verileri sızdırma ve karşıya yükleme ve yükleme ve sonraki aşama ikili dosyalarını yürütün.
Ayrıca, muhalif topluluk, Dingo J-spy web kabuğunu yerleştirmek için Nisan 2022’de ortaya çıkan VMware Workspace ONE Access and Identity Manager’da bir uzaktan kod yürütme güvenlik açığı olan CVE-2022-22954’ten yararlandı.
Altı aydan uzun bir süre sonra bile devam eden Log4Shell ile ilgili etkinlik, zafiyetin, sonraki etkinlik için bir başlangıç noktası elde etmek için fırsatçı bir şekilde yama uygulanmamış sunucuları hedef alan devlet destekli gelişmiş kalıcı tehdit (APT) aktörleri de dahil olmak üzere saldırganlar için büyük ilgi gördüğünü gösteriyor. .
Siber güvenlik şirketi ExtraHop’a göre, Log4j güvenlik açıkları amansız tarama girişimlerine maruz kaldı ve finans ve sağlık sektörleri potansiyel saldırılar için çok büyük bir pazar olarak ortaya çıktı.
IBM’e ait Randori, “Log4j kalıcı olacak, saldırganların bundan tekrar tekrar yararlandığını göreceğiz” söz konusu Nisan 2022 raporunda. “Log4j, paylaşılan üçüncü taraf kodunun katmanlarına ve katmanlarına derinlemesine gömüldü ve bizi, çok sayıda açık kaynak kullanan kuruluşlar tarafından kullanılan hizmetlerde Log4j güvenlik açığının kötüye kullanıldığını göreceğimiz sonucuna götürdü.”