0
0
O Spring4Shell (CVE-2022-22965) dominou as notícias sobre segurança da informação nos últimos seis dias, mas o Log4Shell (CVE-2021-44228) continua a exigir atenção e ação dos defensores corporativos, já que diversas aplicações vulneráveis estão sendo alvo de ataques na natureza.
Atacantes na natureza explorando Log4Shell
O Log4Shell é generalizado porque o Apache Log4j – a biblioteca de registro que afeta – é amplamente utilizado. Embora sua capacidade de exploração dependa da versão Java, da versão Log4j (apenas o Log4j v2 é vulnerável) e de como é usado, a vulnerabilidade é facilmente desencadeada com a exploração certa.
Desde a revelação de sua existência, muitos atores de ameaças têm sido direcionados para comprometer servidores VMware Horizon, aplicativos Ubiquity Unifi, sistemas de gerenciamento de dispositivos móveis MobileIron, dispositivos IoT e outros produtos.
Os servidores VMware Horizon são um alvo particularmente popular e estão sendo comprometidos principalmente para implantar malware de mineração de criptomoedas, observaram os pesquisadores da Sophos Gabor Szappanos e Sean Gallagher. Mas alguns atacantes estão estourando-os e implantando backdoors, conchas inversas e ferramentas de monitoramento remoto, possivelmente preparando-os para ataques futuros envolvendo ransomware ou espionagem corporativa.
Os pesquisadores do Fortiguard Labs Rotem Sde-Or e Eliran Voronovitch também sinalizaram recentemente uma campanha de um ator de ameaças que eles acreditam ser o Deep Panda, um grupo chinês de APT, explorando o Log4Shell em servidores VMware Horizon para implantar um backdoor e um novo rootkit de kernel (“Fire Chili”) em máquinas-alvo.
Pesquisadores mandiantes, por outro lado, documentaram vários atores de ameaças tentando explorar sistemas MobileIron MDM. Alguns, eles acreditam, têm motivações financeiras, enquanto outros estão envolvidos em espionagem. Eles também foram incapazes de discernir a motivação de um ator de ameaça em particular.
Quais outras aplicações generalizadas podem fazer bons alvos?
O Log4Shell afeta uma grande variedade de produtos de software e muitas organizações terão problemas para avaliar sua exposição e escolher quais patches devem ser proritizados.
A equipe de pesquisadores de Randori avaliou que o VMware Horizon e o MobileIron estão, de fato, entre os 3 aplicativos mais “inastráveis” usando o Log4j por aí, apesar de este último não estar entre os 10 aplicativos mais difundidos usando a biblioteca de registro e sendo expostos na internet.
“Os atacantes não podem se dar ao luxo de serem pegos ou enviados em perseguições de ganso selvagem. Como tal, os ativos mais inatacáveis são determinados com base em onde os danos mais iniciais (acesso) provavelmente ocorreriam”, explicaram seus raciocínios.
Soluções que permitem aos atacantes acesso privilegiado, que não têm software de segurança neles, e que fornecem acesso “downstream” aos hackers provavelmente serão os alvos mais atraentes, e é por isso que as listas de aplicativos mais difundidos e mais inacionáveis da Randori não correspondem.
“A maioria dos softwares generalizados são servidores de aplicativos ou middleware – cPanel, [Apache] Tomcat, [Eclipse] Jetty, [Eclipse] JSP, Wildfly – que não estão 100% confirmados para usar uma versão vulnerável do Log4j, tornando-os um alvo menos interessante para um invasor. Esses tipos de serviços podem usar componentes opcionais que usam o Log4j, e podem vir em uma variedade de configurações que podem complicar a localização de um mecanismo explorável, de modo que um invasor pode não querer perder seu tempo (especialmente se houver um alvo mais fácil)”, observaram os pesquisadores.
O VMware Horizon é extremamente comum (10% das grandes empresas têm uma instância exposta à internet) e, se hackeada, dá a um hacker acesso a jusante.
Jamf é uma plataforma de automação de configuração que é conhecida por ser vulnerável e explorável, e uma instância comprometida permitiria que os invasores influenciassem qualquer dispositivo que esteja sendo administrado por ele, explicaram os pesquisadores. MobileIron – uma solução MDM – oferece acesso semelhante.
Ping Identity’s PingFederate – uma autenticação e plataforma SSO – pode ser igualmente útil. “Se um adversário pode controlar o servidor e o processo da AUTH, eles provavelmente podem impactar muitos outros serviços que são atendidos por esse mecanismo de autenticação. Isso se torna ainda mais interessante se a forma como está configurada permitir que o invasor crie usuários em seu ambiente”, apontaram.
A lista continua com Jenkins (servidor de automação vulnerável por meio de plugins que usam Log4j), Avaya IP Office (o sistema de gerenciamento é vulnerável) e o NetWeaver da SAP (um servidor de aplicativo Java).
FONTE: HELPNET SECURITY