官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
近期,CISA表示,包括国家支持的黑客组织在内的威胁行为者仍在使用 Log4Shell (CVE-2021-44228) 远程代码执行漏洞针对 VMware Horizon和统一访问网关 (UAG) 服务器。
攻击者可以远程利用暴露于本地或Internet访问的脆弱服务器上的Log4Shell,在网络上横向移动,直到获得访问包含敏感数据的内部系统的权限。在2021年12月披露后,多个威胁参与者开始扫描和利用未修补的系统,包括来自伊朗、朝鲜和土耳其等的国家支持的黑客组织。
在与美国海岸警卫队网络司令部 (CGCYBER) 的沟通中,网络安全机构表示,黑客已经利用Log4Shell 漏洞服对务器发起攻击以获取对目标组织网络的初始访问权限。在入侵网络后,他们部署了各种恶意软件,为他们提供部署额外有效负载和获取数百GB敏感信息所需的远程访问权限。作为这种漏洞利用的一部分,这些APT攻击者还在受感染的系统上植入了加载程序恶意软件,该系统带有可实现远程命令和控制 (C2) 的嵌入式可执行文件。 一旦入侵成功,这些行为者就能肆意在内网横向移动,收集机密信息。
建议尚未修补其 VMware 服务器的企业启动事件响应 (IR) 程序。在这种情况下正确响应所需的步骤包括立即隔离可能受影响的系统、收集和审查相关日志和工件、雇用第三方IR专家以及向CISA报告事件。
两家安全机构表示:“CISA和CGCYBER建议所有受到影响的且没有立即应用可用补丁或解决方案的企业,可以考虑使用CISA《恶意软件分析报告》(MAR)-10382580-1和MAR-10382254-1中提供的IOCs。如果检测到潜在的危害,管理员需应用CSA中包含的事件响应建议,并向CISA报告关键发现。”在公告发布之前,VMware 也敦促客户保护暴露在Internet上的 VMware Horizon 服务器免受持续的Log4Shell攻击。
参考来源:https://www.bleepingcomputer.com/news/security/cisa-log4shell-exploits-still-being-used-to-hack-vmware-servers/