يتم استخدام ثغرة Log4Shell بشكل نشط لإدخال البرامج الضارة في خوادم VMWare Horizon

لا تزال توابع الزلزال الذي تسبب في قطاع أمن تكنولوجيا المعلومات بسبب ثغرة Log4Shell أو Log4j التي تم اكتشافها في أواخر عام 2021 تحدث موجات. اكتشف باحثو الأمن هجمات مستمرة تستهدف خوادم VMWare Horizon وإصابةهم ببرامج ضارة مختلفة ، مما يسيء استخدام الثغرة الأمنية سيئة السمعة.

Log4j هو اسم أداة التسجيل المستندة إلى Java المستخدمة على نطاق واسع والتي تؤثر عليها الثغرة الأمنية . Log4Shell هو من الناحية الفنية اسم الثغرة الأمنية نفسها ، لكن المصطلحات أصبحت قابلة للتبديل مع Log4j - اسم البرنامج المتأثر بالثغرة الأمنية.

حصل Log4Shell ، الذي أطلق عليه خبراء الأمن اسم "ضعف العقد" ، على درجة شدة مثالية بلغت 10.0 عندما تم فهرسته.

حملة جديدة تنتشر cryptominers و backdoors

يراقب فريق بحثي مع شركة الأمان Sophos حملة هجوم جديدة مستمرة تسيء استخدام الثغرة الأمنية. أهداف المتسللين الذين يديرون حملة الهجوم هي خوادم VMWare Horizon التي لا تزال تشغل برامج غير مصححة.

يتم إصابة الخوادم ، بمجرد اختراقها ، بعدة أنواع مختلفة من الأبواب الخلفية ، بالإضافة إلى البرامج الضارة الخاصة بـ cryptominer .

بمجرد اختراق الأنظمة باستخدام Log4Shell ، يقوم المتسللون بتثبيت الوصول الشرعي عن بُعد وأدوات العرض التي تُستخدم كأبواب خلفية.

هناك عدد قليل من الأدوات الخبيثة لمحركات التشفير المستخدمة في تلك الهجمات ، بما في ذلك JavaX و Jin و z0Miner و Mimu. هناك دليل جزئي على أن الحملة المستمرة لنشر هؤلاء المشفرون قد تكون مرتبطة بحملة أقدم تستخدم ثغرة أمنية قديمة.

إلى جانب أداة التشفير ونشر الباب الخلفي على خوادم VMWare Horizon المخترقة ، لاحظ الباحثون أيضًا أن حملة الهجوم هذه تنشر أدوات جمع البيانات. الأدوات الإضافية التي تم نشرها في الهجمات تحاول كشط بيانات النظام والنسخ الاحتياطي من الأجهزة.

Log4Shell - الثغرة التي لن تختفي

يبدو أن التنبؤات بأن Log4Shell سيصيب أمن تكنولوجيا المعلومات لفترة طويلة جدًا تتحقق. لا يتعين على المهاجمين حتى المحاولة بجد ، لأنه نظرًا للعدد الهائل من الأنظمة التي تشغل البرامج الأساسية المستخدمة في عمليات الاستغلال ، فمن المحتمل أن تكون هناك حالات غير مسبوقة لسنوات قادمة ، تمامًا كما توقع الباحثون.