Nhóm bảo mật kỹ thuật số tại Dịch vụ Y tế Quốc gia Vương quốc Anh (NHS) đã đưa ra cảnh báo về việc khai thác tích cực các lỗ hổng Log4Shell trong các máy chủ VMware Horizon chưa được vá bởi một tác nhân đe dọa chưa xác định để thả các web shell độc hại và thiết lập sự kiên trì trên các mạng bị ảnh hưởng để chống lại các cuộc tấn công tiếp theo.
“Cuộc tấn công có khả năng bao gồm một giai đoạn do thám, trong đó kẻ tấn công sử dụng Java Naming và Directory InterfaceTM (JNDI) thông qua tải trọng Log4Shell để gọi lại cơ sở hạ tầng độc hại”, cơ quan công quyền không thuộc sở cho biết trong một cảnh báo. “Khi đã xác định được điểm yếu, cuộc tấn công sẽ sử dụng Giao thức truy cập thư mục nhẹ (LDAP) để truy xuất và thực thi tệp lớp Java độc hại đưa web shell vào dịch vụ VM Blast Secure Gateway.”
Web shell, một khi được triển khai, có thể đóng vai trò như một ống dẫn để thực hiện vô số hoạt động sau khai thác như triển khai phần mềm độc hại bổ sung, đào thải dữ liệu hoặc triển khai ransomware. VMware Horizon phiên bản 7.x và 8.x dễ bị tấn công bởi các lỗ hổng Log4j.
Log4Shell là một khai thác cho CVE-2021-44228 (điểm CVSS: 10.0), một lỗ hổng thực thi mã từ xa tùy ý quan trọng trong Apache Log4j 2, một khung ghi nhật ký mã nguồn mở phổ biến, đã được đưa vào sử dụng như một phần của các chiến dịch phần mềm độc hại khác nhau kể từ đó nó được đưa ra ánh sáng vào tháng 12 năm 2021. Một loạt các nhóm hack, từ các tổ chức quốc gia-nhà nước đến các băng đảng ransomware, đã tấn công lỗ hổng bảo mật cho đến nay.
Sự phát triển này cũng đánh dấu lần thứ hai các sản phẩm VMware bị khai thác xuất phát từ các lỗ hổng trong thư viện Log4j. Tháng trước, các nhà nghiên cứu của AdvIntel tiết lộ rằng những kẻ tấn công đang nhắm mục tiêu vào các hệ thống chạy máy chủ VMware VCenter với mục đích cài đặt Conti ransomware.
Về phần mình, VMware đã phát hành các bản cập nhật bảo mật cho Horizon, VCenter và các sản phẩm khác vào tháng trước đã bị ảnh hưởng bởi Log4Shell, với việc nhà cung cấp dịch vụ ảo hóa thừa nhận các nỗ lực quét tự nhiên, kêu gọi khách hàng cài đặt các bản vá nếu có thể hoặc áp dụng giải pháp thay thế tạm thời để đối phó với bất kỳ rủi ro tiềm ẩn nào.
.