La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA), junto con el Comando Cibern\u00e9tico de la Guardia Costera (CGCYBER), emiti\u00f3 el jueves una advertencia conjunta sobre los intentos continuos por parte de los actores de amenazas de explotar la falla Log4Shell en los servidores VMware Horizon para violar el objetivo. redes<\/p>\n
“Desde diciembre de 2021, varios grupos de actores de amenazas han explotado Log4Shell en VMware Horizon y de cara al p\u00fablico sin parches. [Unified Access Gateway] servidores”, las agencias dijo<\/a>. “Como parte de esta explotaci\u00f3n, los presuntos actores de APT implantaron malware de cargador en sistemas comprometidos con ejecutables integrados que permiten el comando y control remoto (C2)”.<\/p>\n En un caso, se dice que el adversario pudo moverse lateralmente dentro de la red de la v\u00edctima, obtener acceso a una red de recuperaci\u00f3n de desastres y recopilar y filtrar datos confidenciales de las fuerzas del orden.<\/p>\n Log4Shell, rastreado como CVE-2021-44228 (puntuaci\u00f3n CVSS: 10,0), es una vulnerabilidad de ejecuci\u00f3n remota de c\u00f3digo que afecta a la biblioteca de registro Apache Log4j que utilizan una amplia gama de consumidores y servicios empresariales, sitios web, aplicaciones y otros productos.<\/p>\n La explotaci\u00f3n exitosa de la falla podr\u00eda permitir que un atacante env\u00ede un comando especialmente dise\u00f1ado a un sistema afectado, lo que permite a los actores ejecutar c\u00f3digo malicioso y tomar el control del objetivo.<\/p>\n Con base en la informaci\u00f3n recopilada como parte de dos compromisos de respuesta a incidentes, las agencias dijeron que los atacantes armaron el exploit para lanzar cargas maliciosas, incluidos los scripts de PowerShell y una herramienta de acceso remoto denominada “hmsvc.exe” que est\u00e1 equipada con capacidades para registrar pulsaciones de teclas e implementar m\u00e1s programa malicioso<\/p>\n “El malware puede funcionar como un proxy de tunelizaci\u00f3n C2, lo que permite que un operador remoto pase a otros sistemas y avance m\u00e1s en una red”, se\u00f1alaron las agencias, y agregaron que tambi\u00e9n ofrece un “acceso a la interfaz gr\u00e1fica de usuario (GUI) a trav\u00e9s de un sistema Windows de destino”. escritorio.”<\/p>\n Los scripts de PowerShell, observados en el entorno de producci\u00f3n de una segunda organizaci\u00f3n, facilitaron el movimiento lateral, lo que permiti\u00f3 a los actores de APT implantar malware de carga que conten\u00eda ejecutables que incluyen la capacidad de monitorear de forma remota el escritorio de un sistema, obtener acceso de shell inverso, filtrar datos y cargar y ejecutar binarios de siguiente etapa.<\/p>\n Adem\u00e1s, el colectivo adversario aprovech\u00f3 CVE-2022-22954, una vulnerabilidad de ejecuci\u00f3n remota de c\u00f3digo en VMware Workspace ONE Access e Identity Manager que sali\u00f3 a la luz en abril de 2022, para implantar el shell web Dingo J-spy.<\/p>\n La actividad en curso relacionada con Log4Shell, incluso despu\u00e9s de m\u00e1s de seis meses, sugiere que la falla es de gran inter\u00e9s para los atacantes, incluidos los actores de amenazas persistentes avanzadas (APT) patrocinados por el estado, que se han dirigido de manera oportunista a servidores sin parches para obtener un punto de apoyo inicial para la actividad de seguimiento. .<\/p>\n Seg\u00fan la empresa de seguridad cibern\u00e9tica ExtraHop, las vulnerabilidades de Log4j han estado sujetas a incesantes intentos de escaneo, con los sectores financiero y de salud emergiendo como un mercado descomunal para posibles ataques.<\/p>\n “Log4j est\u00e1 aqu\u00ed para quedarse, veremos a los atacantes aprovech\u00e1ndolo una y otra vez”, Randori, propiedad de IBM. dijo<\/a> en un informe de abril de 2022. “Log4j se enterr\u00f3 profundamente en capas y capas de c\u00f3digo compartido de terceros, lo que nos lleva a la conclusi\u00f3n de que veremos instancias de la vulnerabilidad de Log4j explotadas en servicios utilizados por organizaciones que usan una gran cantidad de c\u00f3digo abierto”.<\/p>\n <\/p>\n<\/div>\n![\"La](\"https:\/\/thehackernews.com\/new-images\/img\/b\/R29vZ2xl\/AVvXsEj6zHdXd3qpCksF0nkMkrjsOzaw-cxZGPHWoTEp9y7VPIeyPBFGsmIyIX8NTkqI1IDqnIXYnsZuIh4rc9f8TNUn7ndAZqtXc-t58X2oueTaL4Ijb4hgH-b183QvQ0ienXIipuOsqeLP5b8I2prKmp0RWvdZQgnKehVRKbqRQpin1JgfwlZeE_IB4EmesQ\/s1600\/crowdsec-728.jpg\")
<\/a><\/div>\n