תוקפים משתמשים בחולשת האבטחה Log4Shell כדי ליצור פריצה בשרתים וירטואליים

יום ג', 5 באפריל 2022

 

סופוס, מובילה  באבטחת סייבר, פרסמה מחקר על השימוש שעושים תוקפים בפרצת האבטחה Log4Shellכדי להחדיר נוזקות מסוג "דלת אחורית" ו-Profiling Scripts לשרתי VMware Horizon שלא עודכנו בתיקוני אבטחה, ובכך הסדירו גישה מתמשכת לשרתים אלו ופתחו פתח למתקפות כופר עתידיות.

המחקר שכותרתו "Horde of miner bots and backdoors leveraged Log4J to attack VMware Horizon servers – Sophos News" מפרט את הכלים והטכניקות המשמשים לפריצת השרתים, להתקנת שלוש דלתות אחוריות ולהחדרת ארבע תוכנות כרייה שונות.

Log4Shell  היא פרצת אבטחה המאפשר הרצת קוד מרחוק ברכיב רישום היומן מבוסס ה-Java של שרת Apache, Log4j,  שמוטמע במאות מוצרי תוכנה. הפרצה דווחה ותוקנה  בדצמבר 2021.

"יישומים בשימוש נרחב כמו VMware Horizon  שחשופים לאינטרנט ודורשים עדכונים ידניים הם פגיעים במיוחד לניצול בקנה מידה נרחב", אמר שון גלאגר, חוקר אבטחה בכיר בסופוס. "מערכי הזיהוי של סופוס חשפו גלי מתקפות על שרתי Horizon  החל מינואר, שהחדירו מגוון של פרצות "דלת אחורית" ותוכנות כרייה לשרתים שלא עודכנו, כמו גם סקריפטים המאפשרים איסוף מידע אודות השרת המותקף.

סופוס  סבורה שחלק מפרצות הדלת האחורית הוחדרו באמצעות ספקי גישה ראשונית המנסים להבטיח גישה מרוחקת מתמשכת ליעדים משמעותיים שאותם הם יכולים למכור לתוקפים אחרים, כגון מפעילי תוכנות כופר".

לדברי סופוס, התוקפים משתמשים במספר גישות שונות כדי להדביק את מטרותיהם. בעוד שחלק מההתקפות הקודמות השתמשו בתוכנת CobaltStrike כדי להריץ את מטעני כריית המטבעות, גל ההתקפות הגדול ביותר, שהחל באמצע ינואר 2022, הריץ את הסקריפט המשמש להתקנת תוכנת הכרייה ישירות מתוך רכיב ה-Apache Tomcat  הרץ על שרת VMware Horizon. גל ההתקפות הזה עודנו בעיצומו.

"מהממצאים של סופוס עולה כי תוקפים רבים משתמשים באמצעי פריצה אלו, ולכן הצעד ההגנתי החשוב ביותר הוא התקנת הגרסה המתוקנת  של Log4j  בכל השרתים והיישומים שבהם נעשה שימוש ברכיב זה. בזאת נכללות גרסאות מתוקנות  של VMware Horizon, בארגונים שמשתמשים ביישום זה ברשת שלהם", אמר גלאגר. 

למידע נוסף מומלץ לקרוא את הסקירה הטכנית "Horde of Miner Bots and Backdoors Meveraged Log4j to Attack VMware Horizon Servers" ב-Sophos News.

מידע נוסף על Log4j אפשר למצוא במאמרים הבאים -   Log4Shell Hell – Anatomy of an Exploit , Log4Shell Response and Mitigation Recommendations, Inside the Code: How