A Log4Shell biztonsági rését aktívan használják rosszindulatú programok VMWare Horizon szerverekbe való bejuttatására

A 2021 végén feltárt Log4Shell vagy Log4j biztonsági rése által az IT-biztonsági szektorban okozott földrengés utórengései továbbra is hullámokat vernek. A biztonsági kutatók folyamatos támadásokat fedeztek fel, amelyek a VMWare Horizon szervereket célozzák, és különböző kártevőkkel fertőzik meg azokat, visszaélve a hírhedt sebezhetőséggel.

A Log4j annak a széles körben használt Java-alapú naplózóeszköznek a neve, amelyet a biztonsági rés érint . A Log4Shell technikailag magának a sebezhetőségnek a neve, de a kifejezések felcserélhetővé váltak a Log4j-vel - a biztonsági rés által érintett szoftver nevével.

A biztonsági szakértők által "az évtized sebezhetőségének" nevezett Log4Shell katalógusba vételekor tökéletes, 10,0-s súlyossági pontszámot kapott.

Az új kampány cryptominereket és hátsó ajtókat terjeszt

A Sophos biztonsági céggel közös kutatócsoport egy új, folyamatban lévő támadási kampányt figyel, amely visszaél a sérülékenységgel. A támadási kampányt futtató hackerek célpontjai olyan VMWare Horizon szerverek, amelyeken még nem javított szoftver fut.

A szervereket, miután feltörték, számos különböző típusú hátsó ajtóval , valamint kriptográfiai kártevőkkel fertőzik meg.

Miután a Log4Shell segítségével feltörték a rendszereket, a hackerek legitim távoli hozzáférési és megtekintési eszközöket telepítenek, amelyeket hátsó ajtóként használnak.

Ezekben a támadásokban egy maroknyi cryptominer rosszindulatú eszközt használnak, köztük a JavaX, a Jin, a z0Miner és a Mimu. Részleges bizonyítékok vannak arra vonatkozóan, hogy a folyamatban lévő kampány, amely ezeket a kriptobányászokat terjeszti, egy régebbihez kapcsolódhat, amely régebbi sebezhetőséget használt.

A feltört VMWare Horizon szervereken a kriptominer és a backdoor telepítés mellett a kutatók felfigyeltek erre a támadási kampányra is, amely adatgyűjtő eszközöket telepít. A támadásokhoz telepített további eszközök megkísérlik a biztonsági mentést és a rendszeradatokat lekaparni az eszközökről.

Log4Shell – az exploit, amely nem tűnik el

Beteljesülni látszanak azok a jóslatok, amelyek szerint a Log4Shell még nagyon sokáig sújtja az IT-biztonságot. A támadóknak nem is kell különösebben erőlködniük, mert a kizsákmányolásokhoz használt mögöttes szoftvereket futtató rendszerek hatalmas száma miatt valószínűleg még évekig lesznek foltozatlan példányok, ahogy azt a kutatók előre jelezték.