Jonathan Greig er journalist baseret i New York City.
Fuld biografisk den 21. januar 2022 | Emne: VMWare
Ifølge flere cybersikkerhedsvirksomheder, der overvåger situationen, angriber angribere stadig VMware Horizon-servere gennem Log4J-sårbarheder.
For to uger siden udsendte UK's National Health Service (NHS) en advarsel om, at en 'ukendt trusselgruppe' forsøger at udnytte en Log4j-sårbarhed (CVE-2021-44228) i VMware Horizon-servere for at etablere web-shells, der kan bruges til at distribuere malware og ransomware, stjæle følsomme oplysninger og fuldføre andre ondsindede angreb.
Siden da har flere cybersikkerhedsvirksomheder bekræftet, at hackere fortsætter med at målrette mod VMware Horizon-servere. I en erklæring til ZDNet sagde VMware, at de fortsætter med at opfordre kunder til at anvende den seneste vejledning i deres sikkerhedsrådgivning, VMSA-2021-0028, for at løse sårbarhederne CVE-2021-44228 og CVE-2021-4504.
“Vi anbefaler også, at kunder besøger vores tilsvarende Spørgsmål og svar-dokument for at få de seneste oplysninger og tilmelder sig VMware Security-Announce-mailinglisten for alle fremtidige meddelelser. Enhver tjeneste forbundet til internettet og endnu ikke patchet for Log4j-sårbarheder CVE-2021-44228 og CVE-2021-4504 er sårbar over for hackere, og VMware anbefaler på det kraftigste, at patching, siger en talsmand for VMware.
Rapid7 sagde, at det begyndte at overvåge en pludselig stigning i VMware Horizon-udnyttelse den 14. januar og identificerede fem unikke veje, som angribere har taget efter udnyttelsen, hvilket signalerer, at flere aktører er involveret i denne masseudnyttelsesaktivitet.
“Den mest almindelige aktivitet ser, at hackeren udfører PowerShell og bruger det indbyggede System.Net.WebClient-objekt til at downloade cryptocurrency-minesoftware til systemet,” forklarede Rapid7.
Huntress udgav sin egen blog om problemet og bemærkede, at ifølge Shodan er omkring 25.000 Horizon-servere i øjeblikket tilgængelige på internettet på verdensplan.
Roger Koehler, vicepræsident for trusseloperationer hos Huntress, fortalte ZDNet, at NHS-artiklen ikke giver ikke en idé om omfanget af problemet.
“Baseret på hvor mange Horizon-servere i vores datasæt, der ikke er patchet (kun 18 % blev patchet fra sidste fredag aften), er der en høj risiko for, at dette alvorligt påvirker hundredvis – hvis ikke i de lave tusinder – af virksomheder. Denne weekend også markerer første gang, vi har set beviser for udbredt eskalering, fra at få indledende adgang til at begynde at tage fjendtlige handlinger på Horizon-servere,” sagde Koehler.
“Da vi ser adskillige sandsynligvis ikke-relaterede kampagner (kryptominers, web-shells, Cobalt Strike), er det sandsynligt, at dette vil fortsætte med at eskalere. Angribere vil få virksomheder til at betale for ikke at patche fuldstændigt, da VMware gav deres indledende vejledning. web shell-kampagne ser ud til at fokusere på langsigtet adgang, det er sandsynligt, at fremtidig aktivitet vil fokusere på at målrette eller påvirke de systemer, der er tilgængelige via VMware Horizon. Og det giver meningsangribere kan bruge denne adgang til at påvirke alle de virtualiserede værter og servere.”
Koehler tilføjede, at disse er mål af høj værdi, og folk lapper ikke på trods af flere, udbredte kampagner, der er målrettet mod dem, og bemærkede, at de for nylig så dette ske med ProxyShell og ProxyLogon. Selvom disse ikke er helt så betydningsfulde og vidtrækkende som dette seneste cyberangreb, tjener disse sårbarheder som bevis på, at angribere sandsynligvis vil vende tilbage for at målrette de systemer, der endnu ikke er blevet rettet, forklarede Koehler.
Han sagde, at ProxyShell dukkede op måneder efter, at ProxyLogon blev afsløret, og det blev kun gjort muligt, fordi mange havde undladt at rette korrekt.
“Timingen er også vigtig. Hvis vi tænker tilbage på den store Kaseya-hændelse, valgte de ferieweekenden den 4. juli. Den oprindelige udbredte indtrængen med web-skaller fandt sted hen over juleferien (de blev droppet mellem 25. december og 29. december). og tingene eskalerer nu, hvor det er endnu en tre-dages weekend i USA. Vil skadeskontrol blive en ferietradition for dem i cybersikkerhed?” Koehler sagde.
“Web-shell-angrebet mellem den 25. og 29. december var mere sofistikeret sammenlignet med noget som Exchange-angrebet. Det ser ud til, at størstedelen af antivirusværktøjerne ikke kunne identificere, at noget var galt og stadig har ikke indhentet. Moralen i denne historie? Det er den samme gamle sang: patch, patch, patch.”
Sikkerhed
Microsoft: Ny browserfunktion er et stort skridt fremad ' mod nul-dagstrusler Hvordan teknologi er et våben i moderne misbrug i hjemmet – og hvordan man beskytter sig selv Linux-malware er i fremmarch. Her er tre toptrusler lige nu Den bedste antivirussoftware og -apps: Hold din pc, telefon og tablet sikker Sikkerhed | Enterprise Software | Virtualisering | Internet of Things | Sky