Σύμφωνα με μία προειδοποίηση της CISA, κακόβουλοι παράγοντες συμπεριλαμβανομένων ομάδων hacking που υποστηρίζονται από το κράτος, εξακολουθούν να στοχεύουν διακομιστές VMware Horizon και Unified Access Gateway (UAG), εκμεταλλευόμενοι την ευπάθεια απομακρυσμένης εκτέλεσης κώδικα Log4Shell (CVE-2021-44228).
Δείτε επίσης: Amazon Web Services: Διορθώνει container escape στο hotfix Log4Shell
Οι εισβολείς μπορούν να εκμεταλλευτούν το Log4Shell απομακρυσμένα σε ευάλωτους διακομιστές που εκτίθενται σε τοπική πρόσβαση ή πρόσβαση στο Διαδίκτυο, για να μετακινηθούν πλευρικά στα δίκτυα μέχρι να αποκτήσουν πρόσβαση σε εσωτερικά συστήματα που περιέχουν ευαίσθητα δεδομένα.
Μετά την αποκάλυψή του τον Δεκέμβριο του 2021, πολλοί κακόβουλοι χρήστες άρχισαν να σαρώνουν και να εκμεταλλεύονται μη επιδιορθωμένα συστήματα, συμπεριλαμβανομένων των κρατικών ομάδων hacking από την Κίνα, το Ιράν, τη Βόρεια Κορέα και την Τουρκία.
Σήμερα, σε μια κοινή συμβουλευτική με την CGCYBER, η υπηρεσία κυβερνοασφάλειας CISA δήλωσε ότι οι διακομιστές έχουν παραβιαστεί χρησιμοποιώντας εκμεταλλεύσεις του Log4Shell για να αποκτήσουν αρχική πρόσβαση σε δίκτυα στοχευμένων οργανισμών.
Μετά την παραβίαση των δικτύων, ανέπτυξαν διάφορα στελέχη κακόβουλου λογισμικού, τα οποία τους παρέχουν την απομακρυσμένη πρόσβαση που απαιτείται για την ανάπτυξη πρόσθετων ωφέλιμων φορτίων και τη διείσδυση σε εκατοντάδες gigabyte ευαίσθητων πληροφοριών.
“Σε μία επιβεβαιωμένη επίθεση, αυτοί οι παράγοντες APT μπόρεσαν να μετακινηθούν πλευρικά μέσα στο δίκτυο, να αποκτήσουν πρόσβαση σε ένα δίκτυο και να συλλέξουν και να διηθήσουν ευαίσθητα δεδομένα.“
Δείτε ακόμα: Log4Shell exploits χρησιμοποιούνται για DDoS botnets και εγκατάσταση cryptominers
Συνιστάται στους οργανισμούς που δεν έχουν επιδιορθώσει ακόμη τους διακομιστές VMware τους να τους επισημάνουν ως χακαρισμένους και να ξεκινήσουν διαδικασίες απόκρισης περιστατικών (IR).
Τα βήματα που απαιτούνται για τη σωστή απόκριση σε μια τέτοια κατάσταση περιλαμβάνουν την άμεση απομόνωση των δυνητικά επηρεαζόμενων συστημάτων, τη συλλογή και επανεξέταση σχετικών αρχείων καταγραφής, την πρόσληψη τρίτων εμπειρογνωμόνων IR (εάν χρειάζεται) και την αναφορά του περιστατικού στην CISA.
“Η CISA και η CGCYBER συνιστούν σε όλους τους οργανισμούς με επηρεαζόμενα συστήματα που δεν εφάρμοσαν άμεσα τις διαθέσιμες ενημερώσεις κώδικα ή λύσεις να θεωρήσουν ότι έχουν επηρεαστεί και να ξεκινήσουν δραστηριότητες αντιμετώπισης απειλών, χρησιμοποιώντας τις ΔΟΕ που παρέχονται σε αυτήν την Έκθεση Ανάλυσης Κακόβουλου Λογισμικού (MAR)-10382580-1 και MAR-10382254 -1“, ανέφεραν τα δύο πρακτορεία.
“Εάν εντοπιστεί δυνητική παραβίαση, οι διαχειριστές θα πρέπει να εφαρμόσουν τις συστάσεις αντιμετώπισης περιστατικών που περιλαμβάνονται σε αυτήν την CSA και να αναφέρουν τα βασικά τους ευρήματα στην CISA.“
Δείτε επίσης: Black Basta ransomware: Η έκδοση Linux στοχεύει διακομιστές VMware ESXi
Ήδη από την αρχή του έτους, οι διακομιστές VMware Horizon έχουν στοχοποιηθεί από κινεζικούς κακόβουλους παράγοντες για την ανάπτυξη ransomware Night Sky, τη Lazarus North Korean APT για την ανάπτυξη κλοπών πληροφοριών και την ομάδα hacking TunnelVision που συνδέεται με το Ιράν για την ανάπτυξη backdoors.
Μέχρι να μπορέσετε να εγκαταστήσετε διορθωμένες εκδόσεις ενημερώνοντας όλους τους επηρεαζόμενους διακομιστές VMware Horizon και UAG στις πιο πρόσφατες εκδόσεις, μπορείτε να μειώσετε την επιφάνεια επίθεσης “φιλοξενώντας βασικές υπηρεσίες σε μια ζώνη DMZ”, αναπτύσσοντας τείχη προστασίας εφαρμογών ιστού (WAF) και «διασφαλίζοντας αυστηρούς ελέγχους πρόσβασης περιμετρικά του δικτύου».
