0
0
Os servidores VMware Horizon — que muitas organizações estão usando para permitir acesso seguro em qualquer lugar, a qualquer momento a aplicativos corporativos para trabalhadores remotos — continuam a ser um alvo popular para atacantes que procuram explorar a vulnerabilidade crítica de execução remota de código Apache Log4j divulgada em dezembro de 2021.
Pesquisadores da Sophos disseram esta semana ter observado uma onda de ataques contra servidores vulneráveis da Horizon a partir de 19 de janeiro de 2022, até agora. Muitos dos ataques envolveram tentativas de atores de ameaças de implantar mineradores de criptomoedas como minerador JavaX, Jin, z0Miner, variantes XMRig e outras ferramentas similares. Mas em vários outros casos, a Sophos observou atacantes tentando instalar backdoors para manter acesso persistente em sistemas comprometidos.
O fornecedor de segurança disse que sua análise sugere que os invasores que entregam backdoors são provavelmente os corretores de acesso iniciais (IABs) que procuram fornecer a outros atores de ameaças acesso a redes comprometidas, por uma taxa. Os operadores de ransomware têm sido alguns dos maiores clientes de corretores de acesso iniciais recentemente. Portanto, é provável que a atual onda de ataques contra o VMware Horizon seja um precursor de ataques de ransomware que visam falhas do Log4j em versões não reparadas do servidor VMware Horizon, disse Sophos.
“Os shells da Web parecem estar conectados em alguns casos com métodos e infraestrutura conhecidos do IAB”, diz Scott Barlow, vice-presidente global da MSP na Sophos. “As conchas que eles soltaram forneceriam acesso inicial para qualquer pessoa a quem vendessem acesso e também poderiam ser usadas para colheita de credenciais.”
O Serviço Nacional de Saúde do Reino Unido (NHS) foi um dos primeiros a alertar sobre ataques direcionados a servidores VMware Horizon contendo a vulnerabilidade Log4j (CVE-2021-44228).
Em um alerta de janeiro, a NHS Digital, que desenvolve e opera infraestrutura de TI e serviços para entidades de saúde no Reino Unido, disse ter observado um ator de ameaça desconhecido explorando a vulnerabilidade do Log4J RCE no serviço Apache Tomcat incorporado na VMware Horizon para instalar um shell web em sistemas comprometidos. Os atacantes poderiam usar o shell da Web para realizar uma série de atividades maliciosas, incluindo a implantação de ransomware e outros malwares, e para roubar dados de sistemas e redes de saúde comprometidos, observou o NHS Digital.
A VMware emitiu uma versão atualizada do servidor VMware Horizon que abordou a vulnerabilidade em dezembro de 2021. Ele instou as organizações que usam a tecnologia a atualizar para a versão fixa, citando a gravidade da falha do Log4j e o potencial de abuso. A empresa também lançou atualizações para inúmeros outros produtos que continham versões vulneráveis do Log4j.
CVE-2021-44228 (também conhecido como Log4Shell) é a mais crítica das três vulnerabilidades que a fundação Apache divulgou em dezembro de 2021. A falha está presente em um recurso de pesquisa JNDI (Java Naming and Directory Interface) que é ativado por padrão em várias versões de log4j de Log4j 2.0-beta9 para Log4j 2.14.1. A vulnerabilidade dá aos atacantes uma maneira de obter controle remoto completo de um sistema vulnerável, e é amplamente considerada uma das falhas mais consequentes divulgadas na memória recente porque impacta quase todos os aplicativos Java e também é fácil de explorar.
Ao contrário do que muitos supõem, não houve muitos grandes compromissos publicamente conhecidos resultantes da falha nos três meses desde que foi divulgada. Ainda assim, inúmeros especialistas em segurança esperam que os atacantes continuem a direcionar a falha para os últimos anos devido à dificuldade de detectar e corrigir para a maioria das organizações.
Há também um medo considerável de que os atacantes já tenham explorado a falha para obter acesso a muitas organizações que simplesmente ainda não descobriram as invasões.
Web Shells e Cryptominers
Sophos disse que sua análise mostrou atacantes em alguns casos explorando a vulnerabilidade no serviço Tomcat para executar um script PowerShell por deixar cair a ferramenta cobalt strike de shell reversa em sistemas infectados. Em outros casos, os atacantes ignoraram o Cobalt Strike e atacaram o servidor Tomcat no VMware Horizon para soltar o shell da Web.
“Encontramos várias cargas diferentes sendo implantadas nos hosts horizon alvo dessas campanhas”, disse Sophos.
Estes incluíam mineradores de criptomoedas e vários backdoors, incluindo produtos legítimos, como o agente Atera e splashtop streamer.
“São ferramentas comerciais de gerenciamento remoto”, diz Barlow. “Eles são frequentemente abusados por operadores de ransomware porque podem ser usados para implantar e lançar qualquer software com segurança através do agente e parecem ser de fontes legítimas.”
Barlow recomenda que as organizações realizem uma revisão completa de seus softwares e determinem se ainda têm vulnerabilidades não endereçadas ao Log4Shell. “Eles também precisam procurar por quaisquer violações que já tenham acontecido, pois esses ataques podem deixar os backdoors abertos mesmo depois que o software é corrigido.”
FONTE: DARK READING