هشدار جدی آژانسهای امنیتی آمریکا در مورد حملات Log4Shell علیه محصولات VMware
اخبار داغ فناوری اطلاعات و امنیت شبکه
آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده (CISA) و فرماندهی سایبری گارد ساحلی (CGCYBER) توصیه امنیتی مشترکی برای هشدار به سازمانها صادر کردهاند که اعلام میکند عوامل تهدید همچنان از آسیبپذیری Log4Shell در سرورهای VMware Horizon و Unified Access Gateway (UAG) سواستفاده میکنند.
آسیبپذیری بدنام Log4Shell که در نوامبر ۲۰۲۱ فاش و با نام CVE-۲۰۲۱-۴۴۲۲۸ عنوان و مطرح شد، بر ابزار گزارشگیری Apache Log4j که بهطور گسترده استفاده میشود، تأثیر میگذارد و به عنوان یک نقص با شدت بحرانی که منجر به اجرای کد از راه دور (RCE) میگردد، توصیف میشود.
بهرهبرداری از این آسیبپذیری کمتر از دو هفته پس از گزارش اشکال آغاز شد و سازمانها را بر آن داشت تا استقرار پچهای موجود را در اولویت قرار دهند.
از دسامبر ۲۰۲۱، عوامل تهدید متعددی مشاهده شدهاند که از آسیبپذیری در سرورهای VMware Horizon و UAG بهرهبرداری میکنند، از جمله عوامل تهدید دائمی پیشرفته (APT) با حمایت دولتی. VMware در اوایل دسامبر ۲۰۲۱ اصلاحاتی را برای این آسیبپذیری منتشر کرد.
پس از بهرهبرداری موفقیتآمیز، دشمنان لودرهای مخرب را مستقر میکنند و در نهایت کنترل از راه دور سیستمهای در معرض خطر را به دست میآورند. CISA و CGCYBER میگویند که در یک حمله، عوامل تهدید موفق شدند به صورت جانبی به سمت یک شبکه بازیابی فاجعه حمله کنند و دادههای حساس را استخراج کنند.
مشاوره مشترک امنیت سایبری (CSA) از CISA و CGCYBER جزئیاتی در مورد تاکتیکها، تکنیکها و رویهها (TTP) به کار گرفته شده توسط عوامل تهدید در حملات مشاهدهشده، همراه با توصیههای واکنش به حادثه ارائه میدهد.
مهاجمان میتوانند از Log4Shell از طریق درخواستهای ساخته شده ویژه که منجر به اجرای کد دلخواه میشود سواستفاده کنند. به دلیل این اشکال، طیف وسیعی از برنامههای کاربردی، خدمات، وبسایتها و سایر محصولات مصرفکننده و سازمانی در معرض حملات احتمالی قرار میگیرند.
در طی یکی از حملات مشاهده شده، عوامل تهدید یک ابزار دسترسی از راه دور را به کار بردند که میتوانست کلیدهای ورودی را ثبت کند، بارگذاریها را مستقر کرده و اجرا کند و دسترسی به دسکتاپ سیستم در معرض خطر را فراهم کند. این بدافزار که به عنوان یک پروکسی تونلینگ Command-and-Control (C&C) عمل میکند، همچنین به مهاجمان اجازه میدهد تا به صورت جانبی حرکت کنند.
مجموعه CISA در حین تحقیق در مورد به خطر انداختن قربانیان دیگر، نفوذهایی از چندین عامل تهدید را کشف کرد که برخی از آنها از اواخر ژانویه ۲۰۲۲ یا قبل از آن به محیط دسترسی داشتند. مهاجمان احتمالاً از Log4Shell در سرور VMware Horizon پچنشده برای دسترسی اولیه سواستفاده کردهاند.
پس از دسترسی اولیه، عوامل تهدید از اسکریپتهای PowerShell برای استقرار payloadهای اضافی استفاده نموده و با استفاده از پروتکل دسکتاپ از راه دور (RDP) به صورت جانبی حرکت کردند، چندین سیستم از جمله شبکه بازیابی فاجعه قربانی را به خطر انداختند، و بدافزاری را مستقر کردند که قابلیتهای نظارت، دسترسی ریورس شل، تحویل payload، و قابلیتهای استخراج دادهها را برای آنها فراهم میکرد.
مجموعههای CISA و CGCYBER میگویند که هنگام شناسایی یک نقض احتمالی، ادمینها باید سیستمهای آسیبدیده را ایزوله کنند، گزارشها و آرتیفکتها را جمعآوری و بررسی کنند، در صورت لزوم با یک شرکت واکنشدهنده حادثه تعامل کنند و حادثه را به CISA یا گارد ساحلی ایالات متحده (USCG) و یا مرکز پاسخدهی ملی (NRC) گزارش دهند.
برای کاهش خطرات و ریسکها، به سازمانها توصیه میشود که سیستمهای VMware Horizon و UAG خود را بهروزرسانی کنند تا در برابر Log4Shell پچ شوند و با سیستمهای پچنشده طوری برخورد کنند که گویی در معرض خطر قرار گرفتهاند. به روز نگه داشتن تمام نرمافزارها در هر زمان، به کارگیری تقسیمبندی شبکه، اجرای احراز هویت چند عاملی و بهترین شیوهها برای مدیریت هویت و دسترسی (IAM) نیز باید خطرات را کاهش دهد.
در گزارش CSA آمده است که: «تا زمانی که بهروزرسانی [VMware] به طور کامل پیادهسازی نشود، برای محدود کردن دامنه ترافیک، اجزای آسیبپذیر را از اینترنت جدا کنید. در حین نصب بهروزرسانیها، اطمینان حاصل کنید که کنترلهای دسترسی محیطی شبکه تا حد امکان محدود هستند. »
برچسب ها: IAM, NRC, USCG, Remote Desktop Protocol, UAG, Unified Access Gateway, CGCYBER, C&C, VMware Horizon, تهدید دائمی پیشرفته, Apache Log4j, Log4j, Log4Shell, اجرای کد از راه دور, پچ, Payload, apache, RCE, TTP, APT, PowerShell, Patch, cybersecurity, VMware, RDP, CISA , آسیبپذیری, Remote Code Execution, Vulnerability, Cyber Security, امنیت سایبری, Cyber Attacks, حمله سایبری