“Log4Shell” olarak bilinen Log4j bileşenindeki kusur, kuruluşlar tarafından aylar önce düzeltilmiş olmalıydı, ancak savunmasız kalan bazı sistemler, bilgisayar korsanları tarafından kurumsal ağlara erişmek için hala kullanılıyor.
Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) ve Amerika Birleşik Devletleri Sahil Güvenlik Siber Komutanlığı (CGCYBER), yöneticilerden Horizon sunucularını ve Birleşik Erişim Ağ Geçidi (UAG) Log4j’nin savunmasız sürümlerini kullanan VMware’den. VMware UAG, çalışanların Horizon sanal masaüstlerine ve uygulamalarına uzaktan güvenli bir şekilde erişmesini sağlar.
Her iki VMware ürünü de Aralık ayında açıklanan CVE-2021-44228 olarak tanımlanan Log4Shell hatasına karşı savunmasızdı. VMware, cihazları için Aralık ve Ocak aylarında yamalar yayınladı.
Zafiyet Log4Shell olarak adlandırıldı çünkü saldırganlara Log4j kullanan internete bağlı cihazlara uzaktan erişmeleri için bir kabuk verdi.
CISA, “CISA ve CGCYBER, etkilenen sistemleri olan ve mevcut yamaları veya geçici çözümleri hemen uygulamayan tüm kuruluşların uzlaşmayı üstlenmelerini ve tehdit avlama faaliyetlerini başlatmalarını tavsiye ediyor.” Dedi.
Grace’e geri dön
CISA’ya göre, saldırganlar bu açığı kurbanın felaket kurtarma ağına erişmek ve yönetici oturum açma bilgileri ve parolaları da dahil olmak üzere bilgileri çalmak için kullandı.
“Aralık 2021’den bu yana, birden fazla kötü niyetli aktör grubu, yama uygulanmamış, halka açık VMware Horizon ve UAG sunucularında Log4Shell’den yararlandı.” ajanslar kendilerine göre
“Bu istismarın bir parçası olarak, şüpheli APT aktörleri, uzaktan komuta ve kontrol için yerleşik yürütülebilir dosyalara sahip güvenliği ihlal edilmiş sistemlere yükleyici kötü amaçlı yazılım yerleştirdi (C2). Onaylanmış bir uzlaşmayla, bu APT aktörleri ağ içinde yanlamasına hareket edebildi, bir felaket kurtarma ağına erişebildi. , hassas verileri toplamak ve sızdırmak için” dedi ajanslar.
Log4j, Apache Software Foundation (ASF) tarafından sağlanır, ancak açık kaynak bileşeni, VMware, Cisco, IBM ve Oracle dahil olmak üzere diğer birçok satıcının cihazlarındaki çok çeşitli yazılımlarda kullanılır.
Etkilenen son kullanıcılar, cihaz üreticileri ve hizmetler nedeniyle Log4Shell’in yamalanması zor kabul edilir.
En ciddi güvenlik açıklarından biri
CISA Direktörü Jen Easterly, Log4Shell’in oldu “En ciddi olmasa da tüm kariyerimde gördüğüm en ciddi güvenlik açıklarından biri”. Ancak Ocak ayında, CISA’nın Log4j aracılığıyla önemli izinsiz girişler görmemiştisaldırganların, etkilenen sistemlerden yararlanmadan önce Log4Shell’e ilişkin genel endişenin azalmasını bekleyebilecekleri konusunda uyarıda bulunur.
Jen Easterly’nin endişeleri, daha sonra CISA ve CGCYBER tarafından kurban ağları üzerinde yapılan ve saldırganların kusuru başka amaçlarla kullandığını gösteren soruşturmalarla doğrulanıyor gibi görünüyor. “cryptojacker” veya CPU yoğun kripto madenciliği kötü amaçlı yazılım yükleme.
CGCYBER, VMware Horizon’un güvenlik açığı bulunan bir sürümünü kullanan kurban bir kuruluşa yönelik bir görev yürüttü ve saldırganların Microsoft’un yöneticiler için yazılımı gibi görünen kötü amaçlı yazılımlar yüklediklerini keşfetti.
Ajanslar tarafından araştırılan ikinci bir kurban sitesinde, bilgisayar korsanları önce VMware Horizon sunucusuna erişim sağladı ve ardından VMware Horizon sunucusundaki ana bilgisayarlara erişim sağlamak için Windows Uzak Masaüstü Protokolü’nü (RDP) kullandı. , bir sertifika sunucusu, hassas yasa uygulama verilerini içeren bir veritabanı ve bir posta geçiş sunucusu. RDP, fidye yazılımı saldırganları tarafından bir ağdan ödün vermek için kullanılan birincil yöntemdir.
İkinci kurban sitesindeki saldırganlar, olağanüstü durum kurtarma ağına erişmek için RDP’yi de kullandılar.
CISA, “Kötü niyetli aktörler, yönetici hesapları da dahil olmak üzere birden fazla hesap için kimlik bilgilerini aldı. Bu kimlik bilgilerinin nasıl elde edildiği bilinmiyor” diyor.
Kaynak : “ZDNet.com”