Luka w zabezpieczeniach Log4Shell aktywnie wykorzystywana do wstrzykiwania złośliwego oprogramowania do serwerów VMWare Horizon
Wstrząsy wtórne po trzęsieniu ziemi wywołane w sektorze bezpieczeństwa IT przez lukę Log4Shell lub Log4j, która została odkryta pod koniec 2021 r., wciąż wywołują fale. Badacze bezpieczeństwa odkryli trwające ataki wymierzone w serwery VMWare Horizon i infekujące je innym złośliwym oprogramowaniem, wykorzystując niesławną lukę w zabezpieczeniach.
Log4j to nazwa powszechnie używanego narzędzia rejestrującego opartego na języku Java, którego dotyczy luka. Log4Shell to technicznie nazwa samej luki, ale terminy stały się wymienne z Log4j - nazwą oprogramowania, którego dotyczy luka.
Log4Shell, nazwany przez ekspertów ds. bezpieczeństwa „podatnością dekady”, podczas skatalogowania uzyskał doskonały wynik 10,0.
Nowa kampania rozprzestrzenia kryptominerów i backdoory
Zespół badawczy z firmą Sophos zajmującą się bezpieczeństwem monitoruje nową trwającą kampanię ataków, która wykorzystuje tę lukę. Celem hakerów prowadzących kampanię ataków są serwery VMWare Horizon, na których wciąż działa niezałatane oprogramowanie.
Serwery, które zostały zhakowane, są infekowane kilkoma różnymi rodzajami tylnych drzwi, a także złośliwym oprogramowaniem do wydobywania kryptowalut.
Gdy systemy zostały naruszone za pomocą Log4Shell, hakerzy instalują legalny dostęp zdalny i narzędzia do przeglądania, które są używane jako backdoory.
W atakach tych wykorzystywanych jest kilka złośliwych narzędzi do wydobywania kryptowalut, w tym JavaX, Jin, z0Miner i Mimu. Istnieją częściowe dowody na to, że trwająca kampania rozpowszechniająca te kryptokoparki może być powiązana ze starszym, który wykorzystywał starszą lukę.
Oprócz wdrożenia koparki kryptowalut i backdoora na zaatakowanych serwerach VMWare Horizon badacze zauważyli również, że ta kampania ataków wykorzystuje narzędzia do gromadzenia danych. Dodatkowe narzędzia zastosowane w atakach próbują wyłuskać kopie zapasowe i dane systemowe z urządzeń.
Log4Shell – exploit, który nie zniknie
Przewidywania, że Log4Shell będzie nękać bezpieczeństwo IT przez bardzo długi czas, wydają się sprawdzać. Atakujący nie muszą nawet szczególnie się starać, ponieważ ze względu na ogromną liczbę systemów, na których działa oprogramowanie wykorzystywane w exploitach, prawdopodobnie będą niezałatane instancje przez wiele lat, tak jak przewidywali badacze.