[tdb_mobile_menu menu_id="81451" el_class="plato-left-menu" icon_size="eyJhbGwiOjUwLCJwaG9uZSI6IjMwIn0=" icon_padding="eyJhbGwiOjAuNSwicGhvbmUiOiIxLjUifQ==" tdc_css="eyJhbGwiOnsibWFyZ2luLXRvcCI6IjEwIiwibWFyZ2luLWJvdHRvbSI6IjAiLCJtYXJnaW4tbGVmdCI6IjE1IiwiZGlzcGxheSI6IiJ9LCJwaG9uZSI6eyJtYXJnaW4tdG9wIjoiMCIsIm1hcmdpbi1sZWZ0IjoiMCIsImRpc3BsYXkiOiIifSwicGhvbmVfbWF4X3dpZHRoIjo3Njd9" align_horiz="content-horiz-center" inline="yes" icon_color="#ffffff" icon_color_h="#ffffff"][tdb_header_logo align_vert="content-vert-center" url="https://zephyrnet.com" inline="yes" text="Zephyrnet" image_width="eyJwaG9uZSI6IjM1In0=" img_txt_space="eyJwaG9uZSI6IjEwIn0=" f_text_font_size="eyJwaG9uZSI6IjE4In0=" f_text_font_line_height="eyJwaG9uZSI6IjEuNSJ9" f_text_font_weight="eyJwaG9uZSI6IjcwMCJ9" f_text_font_transform="eyJwaG9uZSI6ImNhcGl0YWxpemUifQ==" f_text_font_family="eyJwaG9uZSI6ImZzXzIifQ==" text_color="#ffffff" text_color_h="var(--accent-color)"]
[tdb_mobile_horiz_menu menu_id="1658" single_line="yes" f_elem_font_family="eyJwaG9uZSI6ImZzXzIifQ==" f_elem_font_weight="eyJwaG9uZSI6IjcwMCJ9" text_color="var(--news-hub-white)" text_color_h="var(--news-hub-accent-hover)" f_elem_font_size="eyJwaG9uZSI6IjE0In0=" f_elem_font_line_height="eyJwaG9uZSI6IjQ4cHgifQ==" elem_padd="eyJwaG9uZSI6IjAgMTVweCJ9" tdc_css="eyJwaG9uZSI6eyJwYWRkaW5nLXJpZ2h0IjoiNSIsInBhZGRpbmctbGVmdCI6IjUiLCJkaXNwbGF5Ijoibm9uZSJ9LCJwaG9uZV9tYXhfd2lkdGgiOjc2N30="]
[tdb_mobile_menu inline="yes" menu_id="81451" el_class="plato-left-menu" icon_size="50" icon_padding="0.5" tdc_css="eyJhbGwiOnsibWFyZ2luLXRvcCI6IjEwIiwibWFyZ2luLWJvdHRvbSI6IjAiLCJtYXJnaW4tbGVmdCI6IjE1IiwiZGlzcGxheSI6IiJ9fQ==" icon_color="#ffffff" icon_color_h="#ffffff" ]
Zephyrnet-logo

Generatieve data-intelligentie

[tdb_header_menu main_sub_tdicon="td-icon-down" sub_tdicon="td-icon-right-arrow" mm_align_horiz="content-horiz-center" modules_on_row_regular="20%" modules_on_row_cats="20%" image_size="td_300x0" modules_category= "image" show_excerpt="none" show_com="none" show_date="" show_author="none" mm_sub_align_horiz="content-horiz-right" mm_elem_align_horiz="content-horiz-center" menu_id="81450" show_mega_cats="yes" align_horiz="content-horiz-center" elem_padd="0 30px" main_sub_icon_space="12" mm_width="1192" mm_padd="30px 25px" mm_align_screen="yes" mm_sub_padd="20px 25px 0" mm_sub_border="1px 0 0" mm_elem_space="25" mm_elem_padd="0" mm_elem_border="0" mm_elem_border_a="0" mm_elem_border_rad="0" mc1_title_tag="h2" modules_gap="25" excl_txt="Premium" excl_margin="0 6px 0 0" excl_padd= "2px 5px 2px 4px" excl_bg="var(--news-hub-accent)" f_excl_font_size="12" f_excl_font_weight="700" f_excl_font_transform="uppercase" meta_padding="20px 0 0" art_title="0 0 10px" show_cat ="geen" show_pagination="uitgeschakeld led" text_color="var(--news-hub-white)" tds_menu_active1-line_color="var(--news-hub-accent)" f_elem_font_size="18" f_elem_font_line_height="64px" f_elem_font_weight="400" f_elem_font_transform=" geen" mm_bg="var(-news-hub-donkergrijs)" mm_border_color="var(-news-hub-accent)" mm_subcats_border_color="#444444" mm_elem_color="var(-news-hub-wit )" mm_elem_color_a="var(-news-hub-accent-hover)" f_mm_sub_font_size="14" title_txt="var(-news-hub-wit)" title_txt_hover="var(-news-hub-accent- hover)" date_txt="var(--news-hub-light-grey)" f_title_font_line_height="1.25" f_title_font_weight="700" f_meta_font_line_height="1.3" f_meta_font_family="fs_2" tdc_css="eyJhbGwiOnsiYm9yZGVyLXRvcC13aWR0aCI6IjEiLCJib3JkZXItcmlnaHQtd2lkdGgiOiIxIiwiYm9yZGVyLWJvdHRvbS13aWR0aCI6IjEiLCJib3JkZXItbGVmdC13aWR0aCI6IjEiLCJib3JkZXItY29sb3IiOiJ2YXIoLS1uZXdzLWh1Yi1kYXJrLWdyZXkpIiwiZGlzcGxheSI6IiJ9fQ==" mm_border_size="4px 0 0" f_elem_font_family="fs_2" mm_subcats_bg="var(--nieuws-hub-donkergrijs)" mm_elem_bg="rgba(0,0,0,0) " mm_elem_bg_a="rgba(0,0,0,0)" f_mm_sub_font_family="fs_2" mm_child_cats="10" mm_sub_inline="yes" mm_subcats_posts_limit="5"]
Home Cyber ​​Security Log4Shell-kwetsbaarheid gericht op VMware-servers om gegevens te exfiltreren

Log4Shell-kwetsbaarheid gericht op VMware-servers om gegevens te exfiltreren

Heruitgegeven door Plato
-
0

CISA waarschuwt dat dreigingsactoren aanvallen opvoeren tegen ongepatchte Log4Shell-kwetsbaarheid in VMware-servers.

De Cybersecurity and Infrastructure Security Agency (CISA) en Coast Guard Cyber ​​Command (CGCYBER) hebben een gezamenlijk advies waarschuwing dat de Log4Shell-fout wordt misbruikt door bedreigingsactoren die openbare VMware Horizon- en Unified Access Gateway (UAG) -servers in gevaar brengen.

De VMware Horizon is een platform dat door beheerders wordt gebruikt om virtuele desktops en apps in de hybride cloud uit te voeren en te leveren, terwijl UAG veilige toegang biedt tot de bronnen die zich in een netwerk bevinden.

Volgens de CISA compromitteert in één geval de APT-actor (Advance Per Persistent Threat) het interne netwerk van het slachtoffer, koopt een netwerk voor noodherstel aan en extraheert gevoelige informatie. "Als onderdeel van deze uitbuiting implanteerden vermoedelijke APT-actoren loader-malware op gecompromitteerde systemen met ingebouwde uitvoerbare bestanden die remote command and control (C2) mogelijk maakten", voegde CISA eraan toe.

Infosec Insiders-nieuwsbriefLog4Shell is een kwetsbaarheid voor het uitvoeren van externe code (RCE) die de logging-bibliotheek beïnvloedt die bekend staat als "Log4j" in Apache. De bibliotheek wordt veel gebruikt door verschillende organisaties, ondernemingen, applicaties en diensten.

Aanvalsanalyse

De CGCYBER voert een proactieve opsporing van bedreigingen uit bij een organisatie die is gecompromitteerd door de bedreigingsactoren die Log4Shell in VMware Horizon hebben uitgebuit. Hieruit bleek dat de aanvaller, na de eerste toegang tot het systeem van het slachtoffer, malware te hebben geüpload die werd geïdentificeerd als "hmsvc.exe".

De onderzoekers analyseerden het monster van de hmsvc.exe-malware en bevestigden dat het proces zich voordeed als een legitieme Windows-service en een gewijzigde versie van SysInternals LogonSessions-software.

Volgens de steekproef van onderzoekers van hmsvc.exe draaide malware met het hoogste privilegeniveau op een Windows-systeem en bevat het een ingebed uitvoerbaar bestand waarmee bedreigingsactoren toetsaanslagen kunnen registreren, payloads kunnen uploaden en uitvoeren.

"De malware kan functioneren als een C2-tunneling-proxy, waardoor een externe operator naar andere systemen kan draaien en verder in een netwerk kan gaan." De eerste uitvoering van malware zorgde voor een geplande taak die elk uur moet worden uitgevoerd.

Volgens CISA in een ander onsite incident response engagement, observeerden ze bidirectioneel verkeer tussen het slachtoffer en het vermoedelijke APT IP-adres.

De aanvallers krijgen in eerste instantie toegang tot de productieomgeving van het slachtoffer (een set computers waarop de gebruiksklare software of update wordt geïmplementeerd), door Log4Shell te misbruiken in niet-gepatchte VMware Horizon-servers. Later merkte CISA op dat de aanvaller Powershell-scripts gebruikt om zijwaartse bewegingen uit te voeren, de loader-malware op te halen en uit te voeren met de mogelijkheid om op afstand een systeem te bewaken, reverse shell te verkrijgen en gevoelige informatie te exfiltreren.

Nadere analyse wees uit dat aanvallers met toegang tot de test- en productieomgeving van de organisatie misbruik maakten van CVE-2022-22954, een RCE-fout in VMware Workspace ONE Access en Identity Manager. om de Dingo J-spy webshell te implanteren,

Reactie op incidenten en mitigaties

CISA en CGCYBER hebben meerdere acties aanbevolen die moeten worden ondernomen als een beheerder gecompromitteerde systemen ontdekt:

  1. Gecompromitteerd systeem isoleren
  2. Analyseer de relevante log, gegevens en artefacten.
  3. Alle software moet worden bijgewerkt en gepatcht vanaf het .
  4. Verminder de niet-essentiële openbare hostingservice om het aanvalsoppervlak te beperken en implementeer DMZ, strikte netwerktoegangscontrole en WAF om te beschermen tegen aanvallen.
  5. Organisaties wordt aangeraden best practices voor identiteits- en toegangsbeheer (IAM) te implementeren door multifactor-authenticatie (MFA) te introduceren, sterke wachtwoorden af ​​te dwingen en beperkte gebruikerstoegang.
[tdb_header_logo align_vert="content-vert-center" icon_color="var(--news-hub-white)" text_color="var(--news-hub-white)" text_color_h="var(--news-hub-white)" tagline_pos="inline" f_text_font_family="fs_2" f_tagline_font_family="fs_2" f_text_font_weight="700" f_tagline_font_weight="700" f_text_font_size="eyJhbGwiOiIyNCIsImxhbmRzY2FwZSI6IjE2IiwicG9ydHJhaXQiOiIxNSIsInBob25lIjoiMTYifQ==" f_tagline_font_size="eyJhbGwiOiIyNCIsImxhbmRzY2FwZSI6IjE2IiwicG9ydHJhaXQiOiIxNSIsInBob25lIjoiMTYifQ==" f_text_font_line_height="1.5" f_tagline_font_line_height="1.5" tagline_color="var(--news-hub-light-grey)" tagline_color_h="var(--news-hub-light-grey)" icon_size="eyJhbGwiOiIyOCIsImxhbmRzY2FwZSI6IjI2IiwicG9ydHJhaXQiOiIyMyIsInBob25lIjoiMjYifQ==" icon_align="-1" icon_space="eyJhbGwiOiI2IiwibGFuZHNjYXBlIjoiNSIsInBvcnRyYWl0IjoiNCIsInBob25lIjoiNSJ9" tdc_css="eyJwaG9uZSI6eyJtYXJnaW4tYm90dG9tIjoiMTUiLCJkaXNwbGF5IjoiIn0sInBob25lX21heF93aWR0aCI6NzY3LCJhbGwiOnsibWFyZ2luLWJvdHRvbSI6IjIwIiwiZGlzcGxheSI6IiJ9LCJsYW5kc2NhcGUiOnsibWFyZ2luLWJvdHRvbSI6IjE4IiwiZGlzcGxheSI6IiJ9LCJsYW5kc2NhcGVfbWF4X3dpZHRoIjoxMTQwLCJsYW5kc2NhcGVfbWluX3dpZHRoIjoxMDE5LCJwb3J0cmFpdCI6eyJtYXJnaW4tYm90dG9tIjoiMTQiLCJkaXNwbGF5IjoiIn0sInBvcnRyYWl0X21heF93aWR0aCI6MTAxOCwicG9ydHJhaXRfbWluX3dpZHRoIjo3Njh9" disable_h1="yes" show_icon="none" media_size_image_height="200" media_size_image_width="200" image_width="30" img_txt_space="6" image="1293497" text="Zephyrnet"]

Copyright @ 2024 Plato Technologies Inc.

Chat met ons

Hallo daar! Hoe kan ik u helpen?