Log4Shell-sårbarhet brukes aktivt til å injisere skadelig programvare i VMWare Horizon-servere
Etterskjelvene etter jordskjelvet forårsaket i IT-sikkerhetssektoren av Log4Shell- eller Log4j-sårbarheten som ble avdekket på slutten av 2021, skaper fortsatt bølger. Sikkerhetsforskere oppdaget pågående angrep rettet mot VMWare Horizon-servere og infiserte dem med annen skadelig programvare, og misbrukte den beryktede sårbarheten.
Log4j er navnet på det mye brukte Java-baserte loggingsverktøyet som sårbarheten påvirker . Log4Shell er teknisk sett navnet på selve sårbarheten, men begrepene ble utskiftbare med Log4j – navnet på programvaren som er berørt av sårbarheten.
Log4Shell, kalt av sikkerhetseksperter "tiårets sårbarhet", fikk en perfekt alvorlighetsgrad på 10,0 da den ble katalogisert.
Ny kampanje sprer kryptominere og bakdører
Et forskningsteam med sikkerhetsselskapet Sophos overvåker en ny pågående angrepskampanje som misbruker sårbarheten. Målene til hackerne som kjører angrepskampanjen er VMWare Horizon-servere som fortsatt kjører uopprettet programvare.
Når serverne først er kompromittert, blir de infisert med flere forskjellige typer bakdører , så vel som cryptominer malware .
Når systemene har blitt kompromittert ved hjelp av Log4Shell, installerer hackerne legitime fjerntilgang og visningsverktøy som brukes som bakdører.
Det er en håndfull ondsinnede kryptominerverktøy som brukes i disse angrepene, inkludert JavaX, Jin, z0Miner og Mimu. Det er delvis bevis på at den pågående kampanjen som sprer disse kryptominerne kan være knyttet til en eldre som brukte en eldre sårbarhet.
Ved siden av kryptomineren og bakdørsdistribusjonen på de kompromitterte VMWare Horizon-serverne, la forskere også merke til denne angrepskampanjen som implementerte datainnsamlingsverktøy. De ekstra verktøyene som ble utplassert i angrepene forsøker å skrape sikkerhetskopier og systemdata fra enhetene.
Log4Shell – utnyttelsen som ikke ville forsvinne
Spådommene om at Log4Shell vil plage IT-sikkerheten i svært lang tid ser ut til å gå i oppfyllelse. Angripere trenger ikke engang å prøve spesielt hardt, fordi på grunn av det enorme antallet systemer som kjører den underliggende programvaren som brukes i utnyttelsene, vil det sannsynligvis være uopprettede tilfeller i årene som kommer, akkurat som forskere spådde.