A CISA alertou hoje que os agentes de ameaças, incluindo grupos de hackers apoiados pelo estado, ainda estão visando servidores VMware Horizon e Unified Access Gateway (UAG) usando a vulnerabilidade de execução remota de código Log4Shell (CVE-2021-44228).
Os invasores podem explorar o Log4Shell remotamente em servidores vulneráveis expostos ao acesso local ou à Internet para mover-se lateralmente pelas redes até obter acesso a sistemas internos que contêm dados confidenciais.
Após sua divulgação em dezembro de 2021, vários agentes de ameaças começaram a procurar e explorar sistemas não corrigidos, incluindo grupos de hackers apoiados pelo Estado da China, Irã, Coreia do Norte e Turquia, bem como vários agentes de acesso comumente usados por gangues de ransomware.
Hoje, em um comunicado conjunto com o Comando Cibernético da Guarda Costeira dos EUA (CGCYBER), a agência de segurança cibernética disse que os servidores foram comprometidos usando explorações do Log4Shell para obter acesso inicial às redes das organizações-alvo.
Depois de violar as redes, eles implantaram várias variedades de malware, fornecendo o acesso remoto necessário para implantar cargas adicionais e exfiltrar centenas de gigabytes de informações confidenciais.
“Como parte dessa exploração, os suspeitos do APT implantaram malware de carregador em sistemas comprometidos com executáveis embutidos, permitindo comando e controle remoto (C2)”, revelou o comunicado.
"Em um compromisso confirmado, esses atores do APT conseguiram se mover lateralmente dentro da rede, obter acesso a uma rede de recuperação de desastres e coletar e exfiltrar dados confidenciais".
Os sistemas VMware sem patches devem ser considerados comprometidos
As organizações que ainda não corrigiram seus servidores VMware são aconselhadas a marcá-los como invadidos e iniciar os procedimentos de resposta a incidentes (IR).
As etapas necessárias para uma resposta adequada em tal situação incluem o isolamento imediato de sistemas potencialmente afetados, coleta e revisão de logs e artefatos relevantes, contratação de especialistas de RI terceirizados (se necessário) e comunicação do incidente à CISA.
"A CISA e a CGCYBER recomendam que todas as organizações com sistemas afetados que não aplicaram imediatamente os patches ou soluções alternativas disponíveis assumam o comprometimento e iniciem atividades de caça a ameaças usando os IOCs fornecidos neste CSA, Malware Analysis Report (MAR)-10382580-1 e MAR-10382254 -1", disseram as duas agências.
“Se um possível comprometimento for detectado, os administradores devem aplicar as recomendações de resposta a incidentes incluídas neste CSA e relatar as principais descobertas à CISA”.
O comunicado de hoje vem depois que a VMware também pediu aos clientes em janeiro que protejam os servidores VMware Horizon expostos à Internet contra ataques contínuos ao Log4Shell.
Desde o início do ano, os servidores VMware Horizon foram alvo de agentes de ameaças de língua chinesa para implantar o ransomware Night Sky, o APT norte-coreano Lazarus para implantar ladrões de informações e o grupo de hackers alinhado ao Irã TunnelVision para implantar backdoors.
Até poder instalar compilações corrigidas atualizando todos os servidores VMware Horizon e UAG afetados para as versões mais recentes, você pode reduzir a superfície de ataque "hospedando serviços essenciais em uma zona desmilitarizada segregada (DMZ)", implantando firewalls de aplicativos da Web (WAFs) e "garantir controles rígidos de acesso ao perímetro da rede."
Veja a noticia completa em: https://www.bleepingcomputer.com/news/security/cisa-log4shell-exploits-still-being-used-to-hack-vmware-servers/
Fonte: https://www.bleepingcomputer.com
Achou esse artigo interessante? Siga canalfsociety em
Instagram,
Facebook,
Telegram,
Twitter,
App Boletim Tec e
App Mr Robot Sticker para ler mais conteúdo exclusivo que postamos.
Postar um comentário