Vulnerabilità Log4Shell utilizzata attivamente per iniettare malware nei server VMWare Horizon
Le scosse di assestamento del terremoto causato nel settore della sicurezza informatica dalla vulnerabilità Log4Shell o Log4j che è stata portata alla luce alla fine del 2021 stanno ancora facendo scalpore. I ricercatori di sicurezza hanno scoperto attacchi in corso che prendono di mira i server VMware Horizon e li infettano con malware diversi, abusando della famigerata vulnerabilità.
Log4j è il nome dello strumento di registrazione basato su Java ampiamente utilizzato che colpisce la vulnerabilità. Log4Shell è tecnicamente il nome della vulnerabilità stessa, ma i termini sono diventati intercambiabili con Log4j, il nome del software interessato dalla vulnerabilità.
Log4Shell, soprannominato dagli esperti di sicurezza la "vulnerabilità del decennio", ha ricevuto un punteggio di gravità perfetto di 10,0 quando è stato catalogato.
La nuova campagna diffonde cryptominer e backdoor
Un team di ricerca con la società di sicurezza Sophos sta monitorando una nuova campagna di attacco in corso che abusa della vulnerabilità. Gli obiettivi degli hacker che eseguono la campagna di attacco sono i server VMWare Horizon che eseguono ancora software senza patch.
I server, una volta compromessi, vengono infettati da diversi tipi di backdoor, oltre che da malware cryptominer.
Una volta che i sistemi sono stati compromessi utilizzando Log4Shell, gli hacker installano strumenti di accesso e visualizzazione remoti legittimi che vengono utilizzati come backdoor.
Ci sono una manciata di strumenti dannosi di cryptominer utilizzati in questi attacchi, inclusi JavaX, Jin, z0Miner e Mimu. Ci sono prove parziali che la campagna in corso che diffonde quei cryptominer potrebbe essere collegata a una precedente che utilizzava una vulnerabilità precedente.
Oltre all'implementazione di cryptominer e backdoor sui server VMWare Horizon compromessi, i ricercatori hanno anche notato che questa campagna di attacco utilizzava strumenti di raccolta dati. Gli strumenti aggiuntivi implementati negli attacchi tentano di raschiare i dati di backup e di sistema dai dispositivi.
Log4Shell: l'exploit che non sarebbe andato via
Le previsioni secondo cui Log4Shell affliggerà la sicurezza IT per molto tempo sembrano realizzarsi. Gli aggressori non devono nemmeno sforzarsi particolarmente, perché a causa dell'enorme numero di sistemi che eseguono il software sottostante utilizzato negli exploit, negli anni a venire probabilmente ci saranno istanze senza patch, proprio come previsto dai ricercatori.