Log4Shell-sårbarhed bruges aktivt til at injicere malware i VMWare Horizon-servere
Efterskælvene efter jordskælvet forårsaget i IT-sikkerhedssektoren af Log4Shell- eller Log4j-sårbarheden, der blev afsløret i slutningen af 2021, skaber stadig bølger. Sikkerhedsforskere opdagede igangværende angreb rettet mod VMWare Horizon-servere og inficerede dem med forskellig malware, hvilket misbrugte den berygtede sårbarhed.
Log4j er navnet på det meget brugte Java-baserede logningsværktøj, som sårbarheden påvirker. Log4Shell er teknisk set navnet på selve sårbarheden, men vilkårene blev udskiftelige med Log4j - navnet på den software, der er berørt af sårbarheden.
Log4Shell, af sikkerhedseksperter døbt "årtiets sårbarhed", fik en perfekt alvorlighedsscore på 10,0, da den blev katalogiseret.
Ny kampagne spreder kryptominere og bagdøre
Et forskerhold med sikkerhedsfirmaet Sophos overvåger en ny igangværende angrebskampagne, der misbruger sårbarheden. Målene for hackerne, der kører angrebskampagnen, er VMWare Horizon-servere, der stadig kører upatchet software.
Når serverne først er blevet kompromitteret, bliver de inficeret med flere forskellige typer bagdøre såvel som cryptominer malware.
Når først systemerne er blevet kompromitteret ved hjælp af Log4Shell, installerer hackerne legitim fjernadgang og visningsværktøjer, der bruges som bagdøre.
Der er en håndfuld ondsindede kryptominerværktøjer brugt i disse angreb, inklusive JavaX, Jin, z0Miner og Mimu. Der er delvist bevis for, at den igangværende kampagne, der spreder disse kryptominere, kan være forbundet med en ældre, der brugte en ældre sårbarhed.
Ved siden af kryptomineren og bagdørsimplementeringen på de kompromitterede VMWare Horizon-servere bemærkede forskere også denne angrebskampagne, der implementerede dataindsamlingsværktøjer. De yderligere værktøjer, der blev indsat i angrebene, forsøger at skrabe backup- og systemdata fra enhederne.
Log4Shell – udnyttelsen, der ikke ville forsvinde
Forudsigelserne om, at Log4Shell vil plage it-sikkerheden i meget lang tid, ser ud til at gå i opfyldelse. Angribere behøver ikke engang at prøve særlig hårdt, for på grund af det enorme antal systemer, der kører den underliggende software, der bruges i udnyttelsen, vil der sandsynligvis være uoprettede tilfælde i de kommende år, ligesom forskere forudsagde.