Une faille dans le composant Log4j appelée "Log4Shell" aurait dû être corrigée par l'organisation il y a quelques mois. Cependant, certains systèmes encore vulnérables sont toujours utilisées par les pirates pour accéder au réseau de l'entreprise.
Cyber sécurité & Infrastructure Security Agency (CISA) et United States Coast Guard Cyber Command (CGCYBER) donnent aux administrateurs Holizon Server etUnified Access Gateway(UAG) De VMware en utilisant une version vulnérable de Log4j. VMware UAG permet aux employés d'accéder à distance et en toute sécurité aux applications et postes de travail virtuels Horizon.
Les deux produits VMware étaient vulnérables à une faille Log4Shell identifiée comme CVE-2021-44228 divulguée en décembre. VMware a publié des correctifs de périphérique en décembre et janvier.
Cette faille a été nommée Log4Shell car elle fournissait un shell permettant aux attaquants d'accéder à distance aux appareils connectés à Internet qui utilisent Log4j.
"CISA et CGCYBER recommandent à toutes les organisations dont les systèmes sont affectés qui n'appliquent pas immédiatement les correctifs ou les solutions de contournement disponibles d'anticiper les compromis et de lancer des activités de chasse aux menaces. Je le ferai ", déclare CISA.
Publicité
Return to Grace
Selon CISA, les attaquants ont profité de cette faille. le réseau de récupération après sinistre de la victime et des informations telles que le nom d'utilisateur et le mot de passe de l'administrateur.
"Depuis décembre 2021, plusieurs groupes d'acteurs malveillants exploitent Log4Shell sur des serveurs VMware Horizon et UAG non corrigés et accessibles au public."Recommandation de l'agence
"Dans le cadre de cet exploit, un acteur APT suspect a été envoyé vers un système compromis avec des exécutables de commande et de contrôle à distance (C2) intégrés. Le logiciel malveillant du chargeur a été intégré. Dans l'infraction confirmée, ces acteurs APT ont pu se déplacer latéralement au sein du réseau et accéder à la catastrophe réseau de récupération, afin de collecter et de voler des données sensibles. " Said.
Log4j est géré par Apache Software Foundation (ASF), mais des composants open source sont utilisés dans une variété de logiciels sur des appareils de nombreux autres fournisseurs tels que VMware, Cisco, IBM et Oracle. ..
Log4Shell est considéré comme difficile à corriger en raison du nombre d'utilisateurs finaux, de fabricants d'appareils et de services concernés.
L'une des vulnérabilités les plus graves
Jen Easterly, directrice de CISA, a déclaré que Log4Shellest"la plus grave de toutes les carrières à ce jour. On disait que c'en était une des vulnérabilités les plus graves, si ce n'est les plus graves. "Mais en janvier, elle a constaté que CISAne confirmait pas une intrusion significative via Log4j. Dès confirmation, l'attaquant a averti qu'il pouvait attendre jusqu'à ce que des inquiétudes générales concernant Log4Shell s'est calmé avant d'utiliser le système affecté.
Les inquiétudes de Jen Easterly semblent être étayées par des enquêtes ultérieures menées par CISA et CGCYBER sur le réseau de la victime. Cela indique que l'attaquant utilise cette faille à des fins autres que l'installation de"cryptojackers" ou de logiciels malveillants de minage de chiffrement gourmands en CPU.
CGCYBER missionne les organisations de victimes en utilisant des versions vulnérables de VMware Horizon, où les attaquants se déguisent en logiciels Microsoft pour les administrateurs. J'ai découvert que j'avais installé.
Sur le deuxième site victime enquêté par l'agence, les pirates accèdent d'abord au serveur VMware Horizontal, puis utilisent le protocole Windows Remote Desktop Protocol (RDP) pour sécuriser le serveur de gestion. Vous avez accédé à un hôte dans votre environnement de production cible cela contient. , serveur de certificats, base de données contenant des données sensibles sur l'application de la loi et serveur de relais de messagerie. RDP est la principale méthode utilisée par les attaquants de ransomware pour compromettre leurs réseaux.
L'attaquant du deuxième site victime a également utilisé RDP pour accéder au réseau de reprise après sinistre.
"Un attaquant malveillant a obtenu des informations d'identification pour plusieurs comptes, y compris un compte administrateur. On ne sait pas comment ces informations d'identification ont été obtenues", a déclaré CISA.
Source :"ZDNet.com"
