Af Eskil Sørensen, 10/01/22
UK's sundhedsmyndigheder (National Health Service - NHS) har udsendt en advarsel om, at en ukendt trusselgruppe har rettet sit skyts mod VMware Horizon-implementeringer ved at udnytte Log4j-sårbarheden. Det skriver Bleeping Computer.
Sårbarheden er også kendt som Log4Shell, der blev kendt i midten af december og som siden har fået flere rettelser, som systemadministratorer verden over har arbejdet på at håndtere. Seneste version 2.17.1 anses ifølge Bleeping Computer for at være ’tilstrækkelig sikker’.
Ifølge NHS-meddelelsen udnytter trusselsgruppen sårbarheden til at opnå mulighed for fjernafvikling af kode på sårbare VMware Horizon-implementeringer på offentlig infrastruktur. Angrebet følger det kendte mønster, som Center for cybersikkerhed bl.a. har beskrevet i sin undersøgelsesrapport ’Anatomien af målrettede ransomwareangreb’.
I dette tilfælde, skriver NHS, indledes der med en rekognosceringsfase, hvor angriberen først bruger Java Naming and Directory InterfaceTM (JNDI) via Log4Shell-payload til at ringe tilbage til den ondsindede infrastruktur. Herefter bruger angrebet Lightweight Directory Access Protocol (LDAP) til at hente og udføre en ondsindet Java-klassefil, der injicerer en web-shell i VM Blast Secure Gateway-tjenesten. Dermed er angriberen inde og kan bruge den installerede web-shell til at udføre en række ondsindede aktiviteter såsom implementering af yderligere skadelig software, dataeksfiltrering eller implementering af ransomware.
Sikkerhedsopdateringer er tilgængelige
Det fremgår af Bleeping Computers omtale af sagen, at VMware i sidste måned udgav en sikkerhedsopdatering til Horizon og andre produkter. En opdatering, der rettede de pågældende fejl som følge af Log4j-sårbarheden.
Derfor opfordres alle VMware Horizon-administratorer til at implementere sikkerhedsopdateringerne så hurtigt som muligt. VMware Horizon er dog ikke det eneste VMware-produkt, der bliver udsat for angreb fra aktører, der bruger Log4j-sårbarheden. Også sårbare VMware vCenter-servere skulle være i skudlinjen fra bl.a. Conti-gruppen.
Links:
https://www.cfcs.dk/da/handelser/varsler/opsamling-pa-log4j/
https://www.cfcs.dk/da/cybertruslen/rapporter/anatomien-i-ransomware-angreb/