İngiltere Ulusal Sağlık Hizmeti (NHS) Digital, kalıcılık sağlamak için VMware Horizon sunucularında Log4j güvenlik açığı CVE-2021-44228’i aktif olarak hedefleyen saldırganlara yönelik bir tavsiye uyarısı yayınladı.
Yetkililer, tehdit grubunun bilinmediğini söylüyor. Gözlenen saldırılar, VMware Horizon içine gömülü olan Apache Tomcat hizmetindeki Log4j güvenlik açığını hedefliyor.
NHS, danışma belgesinde, saldırı faaliyetlerinin muhtemelen Log4Shell yükleri aracılığıyla Java Adlandırma ve Dizin Arayüzü (JNDI) kullanarak kötü amaçlı altyapıyı geri çağırmak için kullandıkları bir keşif aşaması içerdiğini yazdı.
Yetkililer, “Bir zayıflık tespit edildiğinde, saldırı, VM Blast Secure Gateway hizmetine bir web kabuğu enjekte eden kötü amaçlı bir Java sınıfı dosyasını almak ve yürütmek için Hafif Dizin Erişim Protokolü’nü (LDAP) kullanır” dedi.
Saldırgan daha sonra bu Web kabuğunu daha fazla kötü amaçlı yazılım dağıtmak, verileri sızdırmak veya bir fidye yazılımı saldırısı başlatmak gibi kötü amaçlı eylemler gerçekleştirmek için kullanabilir. NHS, danışma belgesinde daha fazla VMware sisteminin savunmasız olabileceğini ve şirketlerin bu durumu gözden geçirmesi gerektiğini belirtti. VMSA-2021-0028 güvenlik danışmanlığı: VMware’in Apache Log4j Uzaktan Kod Yürütme Güvenlik Açığına Yanıtı
Daha fazla ayrıntı okuyun burada.