Jonathan Greig Personaleskribent
Jonathan Greig er journalist baseret i New York City.
Fuld biografisk den 26. januar 2022 | Emne: Sikkerhed
Den første adgangsmæglergruppe, Prophet Spider, er blevet fundet udnytte log4J-sårbarheden i VMware Horizon, ifølge en ny rapport fra forskere med BlackBerry Research & Intelligence- og Incident Response-teams.
Selvom VMware frigav en patch i december og har udgivet omfattende vejledning om, hvordan man kan afhjælpe problemet, forbliver mange implementeringer ikke-patchede.
Tony Lee, vicepræsident for globale tjenesters tekniske operationer hos BlackBerry, fortalte ZDNet, at hans team har fundet beviser, der korrelerer angreb fra Prophet Spider med udnyttelsen af Log4J-sårbarheden i VMware Horizon.
“Når en adgangsmæglergruppe interesserer sig for en sårbarhed, hvis omfang er så ukendt, at det er en god indikation af, at angribere ser en betydelig værdi i dens udnyttelse,” sagde Lee. “Det er sandsynligt, at vi fortsat vil se kriminelle grupper, der udforsker mulighederne for Log4Shell-sårbarheden, så det er en angrebsvektor, som forsvarere skal udvise konstant årvågenhed mod.”
BlackBerry fandt masseudrulninger af cryptocurrency-minesoftware og Cobalt Strike-beacons, men opdagede også “et tilfælde af udnyttelse indeholdende taktikker, teknikker og procedurer relateret til Prophet Spider IAB.”
De bemærkede, at gruppen er kendt for at kompromittere netværk og senere sælge adgang til ransomware-operatører.
“En af indikatorerne, der hjalp os med at tilskrive hændelsen denne trusselsgruppe, var deres brug af C:WindowsTemp7fde mappestien til at gemme ondsindede filer. Trusselsaktøren downloadede også en kopi af wget.bin eksekverbar, som gruppen historisk har brugt til at få yderligere filer til inficerede værter. IP-adressen, der blev brugt i download-vuggen, er også tidligere blevet tilskrevet Prophet Spider-gruppen,” skrev forskerne.
Sikkerhedsfirmaer og mange andre organisationer har advaret om Log4J-sårbarheder i VMware Horizon siden begyndelsen af året. UK's National Health Service (NHS) var en af de første til at advare om, at hackere forsøgte at udnytte en Log4J-sårbarhed i VMware Horizon-servere til at etablere web-shells, der kunne bruges til at distribuere malware og ransomware, stjæle følsomme oplysninger og fuldføre anden ondsindet angreb.
En talsmand for VMware sagde, at virksomheden “arbejder i døgndrift for at lappe og give den nødvendige vejledning til kunderne til at gøre det samme.”
“Med SaaS-produkter kan virksomheden, der leverer softwaren, hurtigt og effektivt implementere sikkerhedsrettelserne. Men organisationer, der bruger lokale licenser til softwareprodukter, skal tage deres egne bekræftende skridt for at anvende sikkerhedsrettelsen i deres eget miljø,” forklarede virksomheden.
VMware sagde, at selv med sine sikkerhedsadvarsler og bestræbelser på at kontakte kunder direkte, fortsætter de med at se, at nogle virksomheder ikke har patchet.
“VMware Horizon-produkter er sårbare over for kritiske Apache Log4j/Log4Shell-sårbarheder, medmindre de rettes korrekt eller afbødes ved hjælp af oplysningerne i vores sikkerhedsrådgivning, VMSA 2021-0028, som først blev offentliggjort den 10. december 2021 og opdateret regelmæssigt med nye oplysninger” sagde talsmanden.
“Kunder, der ikke har anvendt hverken patchen eller den seneste løsning i VMwares sikkerhedsrådgivning, risikerer at blive kompromitteret – eller kan allerede være blevet kompromitteret – af trusselsaktører, der udnytter Apache Log4shell-sårbarheden til at kompromittere ikke-patchede, internetvendte Horizon-miljøer aktivt. Hver gang vi ser sårbarheder, der er så vidtrækkende som Log4J, er det afgørende, at alle berørte brugere bevæger sig hurtigt for at implementere sikkerhedssvar.”
Sikkerhed
Cybersikkerhed: 11 trin at tage, når trusselsniveauet stiger. Hun stolede ikke på sine flyttemænd. Et enkelt Apple AirTag beviste, at hun havde ret Hvordan teknologi er et våben i moderne misbrug i hjemmet Log4J: Microsoft opdager angribere rettet mod SolarWinds sårbarhed Den bedste antivirussoftware og apps: Hold din pc, telefon og tablet sikker VMWare | Sikkerheds-tv | Datastyring | CXO | Datacentre