פגיעות Log4Shell בשימוש פעיל כדי להחדיר תוכנה זדונית לשרתי VMWare Horizon

רעידות המשנה של רעידת האדמה שנגרמו במגזר אבטחת ה-IT על ידי הפגיעות Log4Shell או Log4j שנחשפה בסוף 2021 עדיין מכים גלים. חוקרי אבטחה גילו התקפות מתמשכות המכוונות לשרתי VMWare Horizon ומדביקות אותם בתוכנות זדוניות שונות, תוך ניצול לרעה של הפגיעות הידועה לשמצה.

Log4j הוא שמו של כלי הרישום מבוסס Java בשימוש נרחב שהפגיעות משפיעה עליו . Log4Shell הוא מבחינה טכנית שמה של הפגיעות עצמה, אך המונחים הפכו ניתנים להחלפה עם Log4j - שם התוכנה המושפעת מהפגיעות.

Log4Shell, שכונתה על ידי מומחי אבטחה "הפגיעות של העשור", קיבלה ציון חומרה מושלם של 10.0 כשקוטלג.

מסע פרסום חדש מפיץ קריפטומינרים ודלתות אחוריות

צוות מחקר עם חברת האבטחה Sophos עוקב אחר מסע תקיפה מתמשך חדש המנצל לרעה את הפגיעות. היעדים של ההאקרים המנהלים את מסע התקיפה הם שרתי VMWare Horizon שעדיין מריצים תוכנה לא מתואמת.

השרתים, לאחר שנפרצו, נדבקים במספר סוגים שונים של דלתות אחוריות , כמו גם תוכנות זדוניות cryptominer .

לאחר שהמערכות נפגעו באמצעות Log4Shell, ההאקרים מתקינים כלי גישה מרחוק וצפייה לגיטימיים המשמשים כדלתות אחוריות.

ישנם קומץ של כלים זדוניים cryptominer המשמשים בהתקפות אלו, כולל JavaX, Jin, z0Miner ו-Mimu. ישנן עדויות חלקיות לכך שהקמפיין המתמשך שמפיץ את אותם קריפטומינרים עשוי להיות קשור למסע ישן יותר שהשתמש בפגיעות ישנה יותר.

לצד ה-cryptominer והפריסה האחורית בשרתי VMWare Horizon שנפגעו, החוקרים הבחינו גם במסע התקיפה הזה תוך פריסת כלים לאיסוף נתונים. הכלים הנוספים שנפרסו בהתקפות מנסים לגרד נתוני גיבוי ומערכת מהמכשירים.

Log4Shell - הניצול שלא ייעלם

נראה שהתחזיות שלפיהן Log4Shell תפגע באבטחת ה-IT במשך זמן רב מאוד מתגשמות. התוקפים אפילו לא צריכים להתאמץ במיוחד, מכיוון שבשל המספר העצום של מערכות שמריצות את התוכנה הבסיסית המשמשת את הניצול, סביר להניח שיהיו מקרים ללא תיקונים במשך שנים רבות, בדיוק כפי שחוקרים חזו.