sImplePerson
Member
-
23/03/2020
-
11
-
28 bài viết
Lỗ hổng Log4Shell bị khai thác trên máy chủ VMware để lọc dữ liệu
CISA cảnh báo rằng các hacker đang gia tăng các cuộc tấn công vào lỗ hổng Log4Shell chưa được vá trên các máy chủ VMware.
Cơ quan An ninh mạng và Cơ sở hạ tầng (CISA) và Bộ Tư lệnh Không gian mạng Cảnh sát biển (CGCYBER) đã đưa ra một tư vấn chung cảnh báo rằng lỗ hổng Log4Shell đang bị khai thác bởi hacker trên các máy chủ VMware Horizon và Unified Access Gateway (UAG).
VMware Horizon là một nền tảng được quản trị viên sử dụng để chạy và cung cấp các ứng dụng và máy ảo trên cloud, trong khi UAG cung cấp quyền truy cập an toàn từ xa vào các tài nguyên nằm trong dải mạng.
Theo CISA, trong một ví dụ, hacker tấn công mạng nội bộ của nạn nhân, sau đó khai thác và trích xuất thông tin nhạy cảm. “Ngoài ra, hacker đã tải phần mềm độc hại lên các hệ thống với các file thực thi cho phép ra lệnh và điều khiển từ xa”.
Log4Shell là một lỗ hổng thực thi mã từ xa (RCE) ảnh hưởng đến thư viện ghi nhật ký được gọi là “Log4j” trong Apache. Thư viện được sử dụng rộng rãi bởi các tổ chức, doanh nghiệp, ứng dụng và dịch vụ khác nhau.
Theo đó, hmsvc.exe giả mạo là một dịch vụ Windows hợp pháp và là một phiên bản đã thay đổi của phần mềm SysInternals LogonSessions. hmsvc.exe chạy với đặc quyền cao nhất trên hệ thống Windows và chứa tệp thực thi được nhúng cho phép ghi lại các thao tác trên bàn phím, tải lên và thực thi payload.
“Phần mềm độc hại có thể hoạt động như một proxy, cho phép người điều khiển từ xa chuyển đến các hệ thống khác và di chuyển xa hơn vào mạng”. Quá trình thực thi của phần mềm độc được thiết lập để thực thi mỗi giờ.
Trong một sự cố khác, CISA đã quan sát thấy lưu lượng truy cập hai chiều giữa nạn nhân và địa chỉ IP APT bị nghi ngờ. Kẻ xấu sử dụng các tập lệnh Powershell để xâm nhập sâu hơn vào hệ thống, truy xuất và thực thi phần mềm độc hại của trình tải với khả năng giám sát từ xa hệ thống, lọc thông tin nhạy cảm.
Phân tích sâu hơn cho thấy những kẻ tấn công đã tận dụng CVE-2022-22954, một lỗ hổng RCE trong VMware Workspace ONE Access để tải lên web-shell Dingo J-spy
Cơ quan An ninh mạng và Cơ sở hạ tầng (CISA) và Bộ Tư lệnh Không gian mạng Cảnh sát biển (CGCYBER) đã đưa ra một tư vấn chung cảnh báo rằng lỗ hổng Log4Shell đang bị khai thác bởi hacker trên các máy chủ VMware Horizon và Unified Access Gateway (UAG).
VMware Horizon là một nền tảng được quản trị viên sử dụng để chạy và cung cấp các ứng dụng và máy ảo trên cloud, trong khi UAG cung cấp quyền truy cập an toàn từ xa vào các tài nguyên nằm trong dải mạng.
Theo CISA, trong một ví dụ, hacker tấn công mạng nội bộ của nạn nhân, sau đó khai thác và trích xuất thông tin nhạy cảm. “Ngoài ra, hacker đã tải phần mềm độc hại lên các hệ thống với các file thực thi cho phép ra lệnh và điều khiển từ xa”.
Log4Shell là một lỗ hổng thực thi mã từ xa (RCE) ảnh hưởng đến thư viện ghi nhật ký được gọi là “Log4j” trong Apache. Thư viện được sử dụng rộng rãi bởi các tổ chức, doanh nghiệp, ứng dụng và dịch vụ khác nhau.
Phân tích cuộc tấn công
Rà quét một tổ chức bị xâm phạm thông qua khai thác Log4Shell trên VMware Horizon, CGCYBER thấy rằng: “Sau khi giành được quyền truy cập ban đầu vào hệ thống nạn nhân, hacker đã tải lên một phần mềm độc hại được xác định là “hmsvc.exe”.Theo đó, hmsvc.exe giả mạo là một dịch vụ Windows hợp pháp và là một phiên bản đã thay đổi của phần mềm SysInternals LogonSessions. hmsvc.exe chạy với đặc quyền cao nhất trên hệ thống Windows và chứa tệp thực thi được nhúng cho phép ghi lại các thao tác trên bàn phím, tải lên và thực thi payload.
“Phần mềm độc hại có thể hoạt động như một proxy, cho phép người điều khiển từ xa chuyển đến các hệ thống khác và di chuyển xa hơn vào mạng”. Quá trình thực thi của phần mềm độc được thiết lập để thực thi mỗi giờ.
Trong một sự cố khác, CISA đã quan sát thấy lưu lượng truy cập hai chiều giữa nạn nhân và địa chỉ IP APT bị nghi ngờ. Kẻ xấu sử dụng các tập lệnh Powershell để xâm nhập sâu hơn vào hệ thống, truy xuất và thực thi phần mềm độc hại của trình tải với khả năng giám sát từ xa hệ thống, lọc thông tin nhạy cảm.
Phân tích sâu hơn cho thấy những kẻ tấn công đã tận dụng CVE-2022-22954, một lỗ hổng RCE trong VMware Workspace ONE Access để tải lên web-shell Dingo J-spy
Ứng phó và giảm nhẹ sự cố
CISA và CGCYBER đã khuyến nghị các hành động nên được thực hiện nếu quản trị viên phát hiện hệ thống bị xâm phạm:- Cô lập hệ thống bị tấn công
- Phân tích nhật ký, dữ liệu và hiện vật có liên quan.
- Tất cả phần mềm phải được cập nhật và vá lỗi.
- Giảm bớt dịch vụ lưu trữ công khai không cần thiết để hạn chế bề mặt tấn công và thực hiện DMZ, kiểm soát truy cập mạng nghiêm ngặt và WAF để bảo vệ khỏi bị tấn công.
- Các tổ chức được khuyên nên triển khai các phương pháp hay nhất để quản lý danh tính và truy cập (IAM) bằng xác thực đa yếu tố (MFA), thực thi mật khẩu mạnh và hạn chế quyền truy cập của người dùng.
Theo: threatpost
Chỉnh sửa lần cuối: