Noticia Hackers continúan explotando la vulnerabilidad de Log4Shell en VMware Horizon Systems

log4shell-logo.png



La Agencia de Infraestructura y Ciberseguridad de EE. UU. (CISA) y el Comando Cibernético de la Guardia Costera de los Estados Unidos (CGCYBER) dieron a conocer mediante un aviso de seguridad cibernética (CSA) que las vulnerabilidades de Log4Shell (CVE-2021- 44228) todavía están siendo aprovechadas por hackers.

De los grupos de hackers que se ha detectado
que aún están aprovechando la vulnerabilidad esta «APT» y se ha detectado que han estado atacando en servidores VMware Horizon y Unified Access Gateway (UAG) para obtener acceso inicial a organizaciones que no aplicaron los parches disponibles.



El CSA proporciona información, incluidas tácticas, técnicas y procedimientos e indicadores de compromiso, derivada de dos compromisos de respuesta a incidentes relacionados y análisis de malware de muestras descubiertas en las redes de las víctimas.

Para quienes desconocen de Log4Shell, deben saber que esta es una vulnerabilidad que surgió por primera vez en diciembre y apuntó activamente a las vulnerabilidades encontradas en Apache Log4j, el cual se caracteriza por ser un marco popular para organizar el registro en aplicaciones Java, que permite la ejecución de código arbitrario cuando se escribe un valor especialmente formateado en el registro en el formato «{jndi: URL}».

La vulnerabilidad es notable porque el ataque se puede llevar a cabo en aplicaciones Java que registran valores obtenidos de fuentes externas, por ejemplo, al mostrar valores problemáticos en mensajes de error.


Se observa que casi todos los proyectos que utilizan frameworks como Apache Struts, Apache Solr, Apache Druid o Apache Flink se ven afectados, incluidos Steam, Apple iCloud, clientes y servidores de Minecraft.

La alerta completa detalla varios casos recientes en los que los hackers han explotado con éxito la vulnerabilidad para obtener acceso. En al menos un compromiso confirmado, los actores recopilaron y extrajeron información confidencial de la red de la víctima.

La búsqueda de amenazas realizada por el Comando Cibernético de la Guardia Costera de EE. UU. muestra que los actores de amenazas explotaron Log4Shell para obtener acceso inicial a la red de una víctima no revelada. Cargaron un archivo de malware «hmsvc.exe.», que se hace pasar por la utilidad de seguridad de Microsoft Windows SysInternals LogonSessions.

Un ejecutable incrustado dentro del malware contiene varias capacidades, incluido el registro de pulsaciones de teclas y la implementación de cargas útiles adicionales, y proporciona una interfaz gráfica de usuario para acceder al sistema de escritorio de Windows de la víctima. Puede funcionar como un proxy de tunelización de comando y control, lo que permite a un operador remoto avanzar más en una red, dicen las agencias.

El análisis también encontró que hmsvc.exese ejecutaba como una cuenta de sistema local con el nivel de privilegios más alto posible, pero no explica cómo los atacantes elevaron sus privilegios hasta ese punto.

CISA y la Guardia Costera recomiendan que todas las organizaciones instalen compilaciones actualizadas para garantizar que los sistemas VMware Horizon y UAG afectados ejecuten la última versión.


La alerta agregó que las organizaciones siempre deben mantener el software actualizado y priorizar el parcheo de las vulnerabilidades explotadas conocidas. Las superficies de ataque orientadas a Internet deben minimizarse alojando servicios esenciales en una zona desmilitarizada segmentada.

«Según la cantidad de servidores Horizon en nuestro conjunto de datos que no están parcheados (solo el 18 % estaban parcheados hasta el viernes pasado por la noche), existe un alto riesgo de que esto afecte seriamente a cientos, si no miles, de empresas. Este fin de semana también marca la primera vez que vemos pruebas de una escalada generalizada, pasando de obtener acceso inicial a comenzar a tomar acciones hostiles en los servidores de Horizon»,

Hacerlo garantiza estrictos controles de acceso al perímetro de la red y no hospedar servicios orientados a Internet que no son esenciales para las operaciones comerciales.

CISA y CGCYBER alientan a los usuarios y administradores a actualizar todos los sistemas VMware Horizon y UAG afectados a las últimas versiones. Si las actualizaciones o las soluciones alternativas no se aplicaron de inmediato después del lanzamiento de actualizaciones de VMware para Log4Shell , trate todos los sistemas VMware afectados como comprometidos. Consulte CSA Malicious Cyber Actors Continúa explotando Log4Shell en VMware Horizon Systems para obtener más información y recomendaciones adicionales.

Finalmente si estás interesado en poder conocer más al respecto, puedes consultar los detalles en el siguiente enlace.




Continúar leyendo...