Hackers continuam a explorar bug Log4Shell no VMware Horizon

Views: 215
0 0
Read Time:1 Minute, 51 Second

Servidores VMware Horizon e o Unified Access Gateway (UAG) continuam sendo utilizados por hackers para obter acesso inicial às redes de empresas que não aplicaram parches

A Agência de Segurança Cibernética e Infraestrutura (CISA) dos EUA emitiu alerta às empresas dizendo que operadores de ameaças cibernéticas, incluindo grupos de ameaças persistentes avançadas (APTs) patrocinados por governos, continuaram a explorar o CVE-2021-44228 (Log4Shell) nos servidores VMware Horizon e no Unified Access Gateway (UAG) para obter acesso inicial às redes de organizações que não aplicaram patches ou soluções alternativas disponíveis.

Desde dezembro do ano passado, vários grupos de hackers vêm exploraando o Log4Shell em servidores VMware Horizon e no UAG sem patches. Como parte dessa exploração, eles têm implantado malware em sistemas comprometidos com executáveis ​​incorporados, permitindo que mantenham servidores de comando e controle remoto (C&C). Os operadores do APT conseguiram se mover lateralmente dentro da rede, obter acesso a uma rede de recuperação de desastres e coletar e exfiltrar dados confidenciais.

A CISA recomenda a todas as organizações com sistemas afetados que não aplicaram imediatamente os patches ou soluções alternativas disponíveis para que o façam e iniciar atividades de caça a ameaças usando os indicadores de comprometimento (IOCs) fornecidos pelo Malware Analysis Report (MAR-10382580-1 e MAR-10382254- 1). Se um possível comprometimento for detectado, os administradores devem aplicar as recomendações de resposta a incidentes incluídas no relatório e relatar as principais descobertas à CISA.

O Log4Shell é uma vulnerabilidade de execução remota de código (RCE) que afeta a biblioteca Apache Log4j e uma variedade de produtos que usam o Log4j, como serviços para consumidores e empresas, sites, aplicativos e outros produtos, incluindo determinadas versões do VMware Horizon e UAG. A vulnerabilidade permite que operadores de ameaças enviem uma solicitação especialmente criada para um sistema vulnerável, fazendo com que ele execute código arbitrário. A solicitação permite que assumam o controle total do sistema afetado. 

A VMware confirmou a exploração em 10 de dezembro de 2021 e disponibilizou correções naquele mesmo mês. Desde aquela época, vários grupos de ameaças cibernéticas vêm explorando o Log4Shell em servidores VMware Horizon e UAG não corrigidos e voltados para o público para obter acesso inicial às redes.

FONTE: CISO ADVISOR

POSTS RELACIONADOS