Log4Shell-sårbarheden udnyttes på VMware-servere til at stjæle data

Cybersecurity and Infrastructure Security Agency (CISA) og Coast Guard Cyber ​​Command (CGCYBER) advarer om, at Log4Shell-sårbarheden bliver misbrugt til at kompromittere Internetvendte VMware Horizon og Unified Access Gateway (UAG)-servere.

VMware Horizon er en platform, der bruges af administratorer til at køre og levere virtuelle desktops og apps i hybridskyen, mens UAG giver sikker adgang til ressourcer i et netværk.

Ifølge CISA har hackere kompromitteret mindst ét internt netværk og udtrukket følsomme oplysninger. Som en del af kompromitteringen er der installeret "loader-malware" på de kompromitterede systemer. Loader-malware indeholdt bl.a. indlejrede eksekverbare filer til brug for "Command and Control (C2)" kommunikation.

Loader-malwaren kan fungere som en "C2-tunneling-proxy", der giver hackeren mulighed for at trække data fra andre systemer og at bevæge sig længere ind i et netværk. Det er desuden observert, at loader-malwaren opretter en "scheduleret task" som sættes til at eksekvere én gang i timen.

CISA og CGCYBER anbefaler flere handlinger, der bør udføres før og på kompromitterede systemer:

  • Isoler kompromitteret system
  • Analyser relevante log, data og enheder
  • Al software skal opdateres og patches
  • Reducer antallet af ikke-essentielle Internetvendte enheder og implementer DMZ med tilhørende strise netværksadgangskontroller
  • Implementer god praksis for identitets- og adgangsstyring (IAM), bl.a. ved at indføre multifaktorautentificering (MFA)
  • Brug stærke adgangskoder og begræns brugeradgang til "need to know" basis

Links:

https://cloudnerve.com/log4shell-still-being-exploited-to-hack-vmware-servers-to-exfiltrate-sensitive-data/