Segundo a CISA e a CGCYBER, os hackers continuam explorando a vulnerabilidade do Log4Shell em sistemas VMware Horizon.
Para quem é novo no Log4Shell, saiba que esta é uma vulnerabilidade que surgiu pela primeira vez em dezembro e visava ativamente as vulnerabilidades encontradas no Apache Log4j, que se caracteriza como uma estrutura popular para organizar o registro em aplicativos Java, permitindo a execução de código arbitrário quando um valor especialmente formatado é gravado no registro no formato “{jndi: URL}”.
A vulnerabilidade é notável porque o ataque pode ser realizado em aplicativos Java que registram valores obtidos de fontes externas, por exemplo, exibindo valores problemáticos em mensagens de erro.
Nota-se que quase todos os projetos que utilizam frameworks como Apache Struts, Apache Solr, Apache Druid ou Apache Flink são afetados, incluindo Steam, Apple iCloud, clientes e servidores Minecraft.
Agora, a Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) e o Comando Cibernético da Guarda Costeira dos EUA (CGCYBER) divulgaram por meio de um Cyber Security Advisory (CSA) que as vulnerabilidades do Log4Shell (CVE-2021 – 44228) ainda estão sendo exploradas por hackers.
Hackers continuam explorando a vulnerabilidade do Log4Shell em sistemas VMware Horizon
Dos grupos de hackers que foram detectados ainda explorando a vulnerabilidade, esse “APT” foi detectado por atacar servidores VMware Horizon e Unified Access Gateway (UAG) para obter acesso inicial a organizações que não aplicaram os patches disponíveis.
O CSA fornece informações, incluindo táticas, técnicas e procedimentos e indicadores de comprometimento, derivados de dois compromissos de resposta a incidentes relacionados e análise de malware de amostras descobertas nas redes das vítimas.
O alerta completo detalha vários casos recentes em que hackers exploraram com sucesso a vulnerabilidade para obter acesso. Em pelo menos um comprometimento confirmado, os atores coletaram e extraíram informações confidenciais da rede da vítima.
A pesquisa de ameaças conduzida pelo Cyber Command da Guarda Costeira dos EUA mostra que os agentes de ameaças exploraram o Log4Shell para obter acesso inicial à rede de uma vítima não revelada.
Eles carregaram um arquivo de malware “hmsvc.exe.”, que se disfarça como o utilitário de segurança Microsoft Windows SysInternals LogonSessions.
“Um executável embutido no malware contém vários recursos, incluindo registro de pressionamento de tecla e implementação de cargas adicionais, e fornece uma interface gráfica de usuário para acessar o sistema de desktop Windows da vítima. Ele pode funcionar como um proxy de encapsulamento de comando e controle, permitindo que um operador remoto alcance mais longe em uma rede, dizem as agências.”
“A análise também descobriu que o hmsvc.exe estava sendo executado como uma conta do sistema local com o nível de privilégio mais alto possível, mas não explicou como os invasores elevaram seus privilégios a esse ponto.”
A CISA e a Guarda Costeira recomendam que todas as organizações instalem compilações atualizadas para garantir que os sistemas VMware Horizon e UAG afetados estejam executando a versão mais recente.
O alerta acrescentou que as organizações devem sempre manter o software atualizado e priorizar a correção de vulnerabilidades exploradas conhecidas.
As superfícies de ataque voltadas para a Internet devem ser minimizadas hospedando serviços essenciais em uma zona desmilitarizada segmentada.
“Com base no número de servidores Horizon em nosso conjunto de dados que não foram corrigidos (apenas 18% foram corrigidos na noite de sexta-feira passada), há um alto risco de que isso afete seriamente centenas, senão milhares, de negócios. Este fim de semana também marca a primeira vez que vimos evidências de uma escalada generalizada, desde o acesso inicial até o início de ações hostis nos servidores Horizon.”
Isso garante controles rígidos de acesso ao perímetro da rede e não hospeda serviços voltados para a Internet que não sejam essenciais para as operações de negócios.
“A CISA e a CGCYBER incentivam os usuários e administradores a atualizar todos os sistemas VMware Horizon e UAG afetados para as versões mais recentes. Se as atualizações ou soluções alternativas não foram aplicadas imediatamente após o lançamento das atualizações do VMware para Log4Shell , trate todos os sistemas VMware afetados como comprometidos. Consulte CSA Malicious Cyber Actors Continue a Explorar Log4Shell em VMware Horizon Systems para obter mais informações e recomendações adicionais.”
