Log4Shell-kwetsbaarheid actief gebruikt om malware in VMWare Horizon-servers te injecteren
De naschokken van de aardbeving die in de IT-beveiligingssector is veroorzaakt door de Log4Shell- of Log4j- kwetsbaarheid die eind 2021 aan het licht is gekomen, maken nog steeds furore. Beveiligingsonderzoekers ontdekten aanhoudende aanvallen gericht op VMWare Horizon-servers en deze te infecteren met verschillende malware, waarbij misbruik werd gemaakt van de beruchte kwetsbaarheid.
Log4j is de naam van de veelgebruikte op Java gebaseerde logging-tool die door de kwetsbaarheid wordt getroffen. Log4Shell is technisch gezien de naam van de kwetsbaarheid zelf, maar de termen werden uitwisselbaar met Log4j - de naam van de software die door de kwetsbaarheid werd getroffen.
Log4Shell, door beveiligingsexperts de "kwetsbaarheid van het decennium" genoemd, kreeg een perfecte ernstscore van 10,0 toen het werd gecatalogiseerd.
Nieuwe campagne verspreidt cryptominers en achterdeurtjes
Een onderzoeksteam met beveiligingsbedrijf Sophos volgt een nieuwe lopende aanvalscampagne die misbruik maakt van de kwetsbaarheid. Het doelwit van de hackers die de aanvalscampagne uitvoeren, zijn VMWare Horizon-servers waarop nog steeds ongepatchte software draait.
De servers, eenmaal gecompromitteerd, worden geïnfecteerd met verschillende soorten achterdeuren, evenals cryptominer-malware.
Zodra de systemen zijn gecompromitteerd met Log4Shell, installeren de hackers legitieme tools voor externe toegang en weergave die als achterdeur worden gebruikt.
Er zijn een handvol kwaadaardige cryptominer-tools die bij die aanvallen worden gebruikt, waaronder JavaX, Jin, z0Miner en Mimu. Er is gedeeltelijk bewijs dat de lopende campagne die deze cryptominers verspreidt, mogelijk verband houdt met een oudere die een oudere kwetsbaarheid gebruikte.
Naast de cryptominer en achterdeur-implementatie op de gecompromitteerde VMWare Horizon-servers, merkten onderzoekers ook dat deze aanvalscampagne tools voor gegevensverzameling gebruikte. De extra tools die bij de aanvallen zijn ingezet, proberen back-up- en systeemgegevens van de apparaten te schrapen.
Log4Shell – de exploit die niet zou verdwijnen
De voorspellingen dat Log4Shell de IT-beveiliging nog heel lang zal plagen, lijken uit te komen. Aanvallers hoeven niet eens bijzonder hard hun best te doen, want vanwege het enorme aantal systemen waarop de onderliggende software wordt uitgevoerd die bij de exploits wordt gebruikt, zullen er waarschijnlijk jarenlang ongepatchte gevallen zijn, net zoals onderzoekers voorspelden.