CISA:威胁行为者利用Log4Shell漏洞入侵VMware服务器

2022-6-24 13:55:1 Author: www.freebuf.com(查看原文) 阅读量:24 收藏

freeBuf

主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

近期,CISA表示,包括国家支持的黑客组织在内的威胁行为者仍在使用 Log4Shell (CVE-2021-44228) 远程代码执行漏洞针对 VMware Horizo​​n和统一访问网关 (UAG) 服务器。

攻击者可以远程利用暴露于本地或Internet访问的脆弱服务器上的Log4Shell,在网络上横向移动,直到获得访问包含敏感数据的内部系统的权限。在2021年12月披露后,多个威胁参与者开始扫描和利用未修补的系统,包括来自伊朗、朝鲜和土耳其等的国家支持的黑客组织。

在与美国海岸警卫队网络司令部 (CGCYBER) 的沟通中,网络安全机构表示,黑客已经利用Log4Shell 漏洞服对务器发起攻击以获取对目标组织网络的初始访问权限。在入侵网络后,他们部署了各种恶意软件,为他们提供部署额外有效负载和获取数百GB敏感信息所需的远程访问权限。作为这种漏洞利用的一部分,这些APT攻击者还在受感染的系统上植入了加载程序恶意软件,该系统带有可实现远程命令和控制 (C2) 的嵌入式可执行文件。 一旦入侵成功,这些行为者就能肆意在内网横向移动,收集机密信息。

建议尚未修补其 VMware 服务器的企业启动事件响应 (IR) 程序。在这种情况下正确响应所需的步骤包括立即隔离可能受影响的系统、收集和审查相关日志和工件、雇用第三方IR专家以及向CISA报告事件。

两家安全机构表示:“CISA和CGCYBER建议所有受到影响的且没有立即应用可用补丁或解决方案的企业,可以考虑使用CISA《恶意软件分析报告》(MAR)-10382580-1和MAR-10382254-1中提供的IOCs。如果检测到潜在的危害,管理员需应用CSA中包含的事件响应建议,并向CISA报告关键发现。”在公告发布之前,VMware 也敦促客户保护暴露在Internet上的 VMware Horizo​​n 服务器免受持续的Log4Shell攻击。

参考来源:https://www.bleepingcomputer.com/news/security/cisa-log4shell-exploits-still-being-used-to-hack-vmware-servers/


文章来源: https://www.freebuf.com/news/337187.html
如有侵权请联系:admin#unsafe.sh