Jonathan Greig är journalist baserad i New York City.
Fullständig bio den 21 januari 2022 | Ämne: VMWare
Enligt flera cybersäkerhetsföretag som övervakar situationen riktar sig angripare fortfarande mot VMware Horizon-servrar genom Log4J-sårbarheter.
För två veckor sedan utfärdade Storbritanniens National Health Service (NHS) en varning om att en “okänt hotgrupp” försöker utnyttja en Log4j-sårbarhet (CVE-2021-44228) i VMware Horizon-servrar för att etablera webbskal som kan användas för att distribuera skadlig programvara och ransomware, stjäla känslig information och slutföra andra skadliga attacker.
Sedan dess har flera cybersäkerhetsföretag bekräftat att hackare fortsätter att rikta in sig på VMware Horizon-servrar. I ett uttalande till ZDNet sa VMware att de fortsätter att uppmana kunder att tillämpa den senaste vägledningen som finns i deras säkerhetsrådgivning, VMSA-2021-0028, för att lösa sårbarheterna CVE-2021-44228 och CVE-2021-4504.
“Vi rekommenderar också att kunder besöker vårt motsvarande dokument för frågor och svar för den senaste informationen och går med i e-postlistan för VMware Security-Announce för alla framtida råd. Alla tjänster som är anslutna till internet och ännu inte korrigerade för Log4j-sårbarheter CVE-2021-44228 och CVE-2021-4504 är sårbart för hackare, och VMware rekommenderar starkt patchning, säger en talesperson för VMware.
Rapid7 sa att de började övervaka en plötslig ökning av VMware Horizon-exploatering den 14 januari och identifierade fem unika vägar som angripare har tagit efter exploateringen, vilket signalerar att flera aktörer är inblandade i denna massexploatering.
“Den vanligaste aktiviteten är att angriparen kör PowerShell och använder det inbyggda System.Net.WebClient-objektet för att ladda ner mjukvara för brytning av kryptovaluta till systemet,” förklarade Rapid7.
Huntress släppte sin egen blogg om problemet och noterade att enligt Shodan är cirka 25 000 Horizon-servrar för närvarande tillgängliga på internet över hela världen.
Roger Koehler, vicepresident för hotoperationer på Huntress, berättade för ZDNet att NHS-artikeln inte gjorde det ger inte en uppfattning om omfattningen av problemet.
“Baserat på hur många Horizon-servrar i vår datamängd som inte är patchade (endast 18 % patchades från och med i fredags kväll), finns det en stor risk att detta allvarligt påverkar hundratals – om inte i de låga tusentals företag – även denna helg. Det är första gången vi har sett bevis på en utbredd upptrappning, från att få första tillgång till att börja vidta fientliga åtgärder på Horizon-servrar, säger Koehler.
“Eftersom vi ser flera troligtvis orelaterade kampanjer (kryptominers, webbskal, Cobalt Strike), är det troligt att detta kommer att fortsätta att eskalera. Angripare kommer att få företag att betala för att de inte patchade helt när VMware gav sin första vägledning. Även om den initiala vägledningen webbskalskampanj verkar fokusera på långsiktig åtkomst, det är troligt att framtida aktiviteter kommer att fokusera på att rikta in sig på eller påverka systemen som är tillgängliga via VMware Horizon. Och det gör att angripare kan använda denna åtkomst för att påverka alla virtualiserade värdar och servrar.”
Koehler tillade att dessa är värdefulla mål och att folk inte lappar trots flera, utbredda kampanjer som riktar sig mot dem, och noterade att de nyligen sett detta hända med ProxyShell och ProxyLogon. Även om dessa inte är riktigt lika betydande och långtgående som den här senaste cyberattacken, tjänar dessa sårbarheter som bevis på att angripare sannolikt kommer att vara tillbaka för att rikta in sig på de system som ännu inte har korrigerats, förklarade Koehler.
Han sa att ProxyShell dök upp månader efter att ProxyLogon avslöjades, och att det var möjligt bara för att många hade misslyckats med att korrekt patcha.
“Timingen är också betydande. Om vi tänker tillbaka på den stora Kaseya-incidenten, valde de semesterhelgen den 4 juli. Det ursprungliga utbredda intrånget med webbskal ägde rum under julhelgen (de lades ner mellan 25 december och 29 december), och saker och ting eskalerar nu när det är ytterligare en tredagarshelg i USA. Kommer skadekontroll att bli en semestertradition för dem som arbetar med cybersäkerhet?” Koehler sa.
“Webbskalsattacken mellan den 25 och 29 december var mer sofistikerad jämfört med något som Exchange-attacken. Det verkar som om majoriteten av antivirusverktygen inte kunde identifiera att något var fel och fortfarande har inte ikapp. Moralen i den här historien? Det är samma gamla låt: patch, patch, patch.”
Säkerhet
Microsoft: Ny webbläsarfunktion är ett stort steg framåt ' mot nolldagarshot Hur teknik är ett vapen i moderna missbruk i hemmet – och hur du skyddar dig själv Linux skadlig kod ökar. Här är tre av de främsta hoten just nu Det bästa antivirusprogrammet och apparna: Håll din dator, telefon och surfplatta säker Säkerhet | Företagsprogramvara | Virtualisering | Internet of Things | Moln