CISA bugün, devlet destekli hack grupları da dahil olmak üzere tehdit aktörlerinin hala Log4Shell (CVE-2021-44228) uzaktan kod yürütme kırılganlığını kullanarak VMware Horizon ve Unified Access Gateway (UAG) sunucularını hedeflediği konusunda uyardı.
Saldırganlar, hassas veriler içeren dahili sistemlere erişene kadar ağlar boyunca yanal olarak hareket etmek için yerel veya internet erişimine maruz kalan savunmasız sunucularda Log4shell'i uzaktan kullanabilir.
Aralık 2021'de açıklandıktan sonra, çoklu tehdit aktörleri, Çin, İran, Kuzey Kore ve Türkiye'den devlet destekli hack gruplarının yanı sıra fidye yazılımı çeteleri tarafından yaygın olarak kullanılan birkaç erişim brokerleri de dahil olmak üzere taranmamış sistemleri taramaya ve kullanmaya başladı.
Bugün, ABD Sahil Güvenlik Siber Komutanlığı (CGCYBER) ile ortak bir danışmanda, Siber Güvenlik Ajansı, sunucuların hedeflenen kuruluşların ağlarına ilk erişim elde etmek için Log4Shell istismarları kullanılarak tehlikeye atıldığını söyledi.
Ağları ihlal ettikten sonra, ek yükler dağıtmak ve yüzlerce gigabayt hassas bilgi yaymak için gereken uzaktan erişimi sağlayan çeşitli kötü amaçlı yazılım suşları kullandılar.
Danışman, "Bu sömürünün bir parçası olarak, şüpheli APT aktörleri yükleyici kötü amaçlı yazılımları, uzaktan komut ve kontrolü (C2) sağlayan gömülü yürütülebilir ürünlere sahip tehlikeye atılmış sistemlere implante etti."
"Onaylanmış bir uzlaşmada, bu APT aktörleri ağın içinde yanal olarak hareket edebildiler, bir felaket kurtarma ağına erişebildiler ve hassas verileri toplayabildiler."
VMware sunucularını henüz yamalı olmayan kuruluşların, bunları saldırıya uğratmaları ve olay yanıtı (IR) prosedürlerine başlatmaları önerilir.
Böyle bir durumda uygun yanıt için gereken adımlar, potansiyel olarak etkilenen sistemlerin derhal izole edilmesi, ilgili günlük ve eserlerin toplanması ve gözden geçirilmesi, üçüncü taraf IR uzmanlarının işe alınması (gerekirse) ve olayı CISA'ya rapor etmeyi içerir.
"CISA ve CGCYBER, bu CSA, Malware Analiz Raporu (MAR) -10382580-1 ve MAR-10382254'te sağlanan IOC'leri kullanarak uzlaşma ve tehdit avcılık faaliyetlerini başlatmak için hemen mevcut yamalar veya geçici çözümler uygulamayan etkilenen sistemlere sahip tüm kuruluşları öneririz. -1, "dedi iki ajans.
"Potansiyel uzlaşma tespit edilirse, yöneticiler bu CSA'da yer alan olay yanıt önerilerini uygulamalı ve temel bulguları CISA'ya bildirmelidir."
Bugünkü danışmanlık, VMware'in Ocak ayında müşterileri internete maruz kalan VMware Horizon sunucularını devam eden Log4Shell saldırılarına karşı güvence altına almaya çağırmasının ardından geliyor.
Yılın başlangıcından bu yana, VMware Horizon sunucuları, Çince konuşan tehdit aktörleri tarafından gece gökyüzü fidye yazılımını dağıtmak için hedeflendi, Lazarus Kuzey Koreli bilgi çalma görevlileri ve Tunnelvision İran ile uyumlu hackleme grubu arka kapıları dağıtmak için.
Etkilenen tüm VMware Horizon ve UAG sunucularını en son sürümlere güncelleyerek yamalı yapılar yükleyinceye kadar, "Ayrılmış Demilitarize (DMZ) bölgede temel hizmetleri barındırarak" Web Uygulaması Güvenlik Duvarları'nı (WAFS) dağıtarak "saldırı yüzeyini azaltabilirsiniz. "Sıkı ağ çevre erişim kontrollerinin sağlanması."
DHS, federal ajansları 5 gün içinde VMware hatalarını yamaya sipariş ediyor
Siber güvenlik ajansları en iyi ilk erişim saldırısı vektörlerini ortaya çıkarır
FBI, CISA ve NSA, bilgisayar korsanları MSP'leri giderek daha fazla hedefleyen uyardı
ABD Hükümeti: Karakurt gasp fidye ödemek veri sızıntılarını durdurmayacak
Cisa, Yatakları Yamaya Aktif Olarak İstismar Edilen İlkbahar, Zyxel Bugs konusunda uyarıyor
Kaynak: Bleeping Computer