Chyba zabezpečení Log4Shell se aktivně používá k vkládání malwaru do serverů VMWare Horizon
Následné otřesy po zemětřesení způsobené v sektoru IT bezpečnosti zranitelností Log4Shell nebo Log4j , která byla objevena na konci roku 2021, stále dělají vlny. Bezpečnostní výzkumníci objevili probíhající útoky zaměřené na servery VMWare Horizon a infikující je různým malwarem, přičemž zneužívali nechvalně proslulou zranitelnost.
Log4j je název široce používaného protokolovacího nástroje založeného na Javě, který tato chyba zabezpečení ovlivňuje . Log4Shell je technicky název samotné zranitelnosti, ale termíny se staly zaměnitelnými s Log4j - názvem softwaru postiženého zranitelností.
Log4Shell, nazývaný bezpečnostními experty jako „zranitelnost desetiletí“, získal při katalogizaci perfektní skóre závažnosti 10,0.
Nová kampaň šíří kryptomery a zadní vrátka
Výzkumný tým s bezpečnostní společností Sophos monitoruje novou probíhající útočnou kampaň zneužívající tuto chybu zabezpečení. Cílem hackerů spouštějících útočnou kampaň jsou servery VMWare Horizon, na kterých stále běží neopravený software.
Jakmile jsou servery kompromitovány, jsou infikovány několika různými typy zadních vrátek a také kryptominovým malwarem .
Jakmile byly systémy kompromitovány pomocí Log4Shell, hackeři nainstalují legitimní nástroje pro vzdálený přístup a prohlížení, které se používají jako zadní vrátka.
V těchto útocích se používá několik škodlivých nástrojů kryptominerů, včetně JavaX, Jin, z0Miner a Mimu. Existují částečné důkazy, že probíhající kampaň šířící tyto kryptomery může být spojena se starším, který používal starší zranitelnost.
Vedle nasazení kryptominerů a zadních vrátek na kompromitovaných serverech VMWare Horizon si výzkumníci také všimli této útočné kampaně využívající nástroje pro sběr dat. Další nástroje nasazené při útocích se pokoušejí seškrábat zálohu a systémová data ze zařízení.
Log4Shell – exploit, který nezmizí
Zdá se, že předpovědi, že Log4Shell bude sužovat IT bezpečnost na velmi dlouhou dobu, se naplňují. Útočníci se ani nemusí nijak zvlášť snažit, protože vzhledem k obrovskému počtu systémů, na kterých běží základní software použitý v exploitech, budou pravděpodobně existovat neopravené instance v nadcházejících letech, přesně jak výzkumníci předpovídali.