Log4Shell Masih Dieksploitasi untuk Meretas Server VMWare untuk Mengeksfiltrasi Data Sensitif

  • Whatsapp
Log4Shell Masih Dieksploitasi untuk Meretas Server VMWare untuk Mengeksfiltrasi Data Sensitif
LogShell Masih Dieksploitasi untuk Meretas Server VMWare untuk Mengeksfiltrasi Data

News.nextcloud.asia –

Badan Keamanan Cybersecurity dan Infrastruktur AS (CISA), bersama dengan Coast Guard Cyber ​​Command (CGCYBER), pada hari Kamis merilis peringatan bersama tentang upaya berkelanjutan dari pihak pelaku ancaman untuk mengeksploitasi kelemahan Log4Shell di server VMware Horizon untuk melanggar target. jaringan.

“Sejak Desember 2021, beberapa kelompok pelaku ancaman telah mengeksploitasi Log4Shell pada VMware Horizon yang belum ditambal dan menghadap ke publik. [Unified Access Gateway] server,” agensi dikatakan. “Sebagai bagian dari eksploitasi ini, pelaku APT yang dicurigai menanamkan malware pemuat pada sistem yang disusupi dengan executable tertanam yang memungkinkan perintah dan kontrol jarak jauh (C2).”

Dalam satu contoh, musuh dikatakan dapat bergerak secara lateral di dalam jaringan korban, mendapatkan akses ke jaringan pemulihan bencana, dan mengumpulkan dan mengekstrak data penegakan hukum yang sensitif.

Log4Shell, dilacak sebagai CVE-2021-44228 (skor CVSS: 10,0), adalah kerentanan eksekusi kode jarak jauh yang memengaruhi pustaka logging Apache Log4j yang digunakan oleh berbagai konsumen dan layanan perusahaan, situs web, aplikasi, dan produk lainnya.

Eksploitasi cacat yang berhasil dapat memungkinkan penyerang mengirim perintah yang dibuat khusus ke sistem yang terpengaruh, memungkinkan aktor untuk mengeksekusi kode berbahaya dan menguasai target.

Berdasarkan informasi yang dikumpulkan sebagai bagian dari dua keterlibatan respons insiden, agensi mengatakan bahwa penyerang mempersenjatai eksploitasi untuk menjatuhkan muatan jahat, termasuk skrip PowerShell dan alat akses jarak jauh yang dijuluki “hmsvc.exe” yang dilengkapi dengan kemampuan untuk mencatat penekanan tombol dan menyebarkan tambahan perangkat lunak jahat.

“Malware dapat berfungsi sebagai proxy tunneling C2, memungkinkan operator jarak jauh untuk berporos ke sistem lain dan bergerak lebih jauh ke dalam jaringan,” kata agensi, menambahkan bahwa ia juga menawarkan “akses antarmuka pengguna grafis (GUI) melalui sistem Windows target. Desktop.”

Skrip PowerShell, diamati di lingkungan produksi organisasi kedua, memfasilitasi pergerakan lateral, memungkinkan aktor APT untuk menanamkan malware pemuat yang berisi file yang dapat dieksekusi yang mencakup kemampuan untuk memantau desktop sistem dari jarak jauh, mendapatkan akses shell terbalik, mengekstrak data, dan mengunggah dan mengeksekusi binari tahap berikutnya.

Selain itu, kelompok musuh memanfaatkan CVE-2022-22954, kerentanan eksekusi kode jarak jauh di VMware Workspace ONE Access and Identity Manager yang terungkap pada April 2022, untuk menanamkan shell web Dingo J-spy.

Keamanan cyber

Aktivitas terkait Log4Shell yang sedang berlangsung bahkan setelah lebih dari enam bulan menunjukkan bahwa kelemahan tersebut sangat menarik bagi penyerang, termasuk aktor ancaman persisten lanjutan (APT) yang disponsori negara, yang secara oportunis menargetkan server yang belum ditambal untuk mendapatkan pijakan awal untuk aktivitas lanjutan .

Menurut perusahaan keamanan siber ExtraHop, kerentanan Log4j telah menjadi sasaran upaya pemindaian tanpa henti, dengan sektor keuangan dan perawatan kesehatan muncul sebagai pasar yang sangat besar untuk potensi serangan.

“Log4j akan tetap ada, kita akan melihat penyerang memanfaatkannya lagi dan lagi,” Randori . milik IBM dikatakan dalam laporan April 2022. “Log4j terkubur jauh ke dalam lapisan dan lapisan kode pihak ketiga yang dibagikan, membawa kami pada kesimpulan bahwa kami akan melihat contoh kerentanan Log4j dieksploitasi dalam layanan yang digunakan oleh organisasi yang menggunakan banyak sumber terbuka.”

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan.