VMWare Horizon Sunucularına Kötü Amaçlı Yazılım Enjekte Etmek İçin Aktif Olarak Kullanılan Log4Shell Güvenlik Açığı

Log4Shell veya Log4j zafiyetinin 2021 sonlarında ortaya çıkardığı ve IT güvenlik sektöründe yarattığı depremin artçı sarsıntıları devam ediyor. Güvenlik araştırmacıları, VMWare Horizon sunucularını hedef alan ve onlara farklı kötü amaçlı yazılımlar bulaştıran ve kötü şöhretli güvenlik açığını kötüye kullanan devam eden saldırıları keşfetti.

Log4j, güvenlik açığının etkilediği yaygın olarak kullanılan Java tabanlı günlük kaydı aracının adıdır. Log4Shell, teknik olarak güvenlik açığının kendisinin adıdır, ancak terimler, güvenlik açığından etkilenen yazılımın adı olan Log4j ile değiştirilebilir hale geldi.

Güvenlik uzmanları tarafından "on yılın güvenlik açığı" olarak adlandırılan Log4Shell, kataloğa alındığında 10.0'lık mükemmel bir önem puanı aldı.

Yeni kampanya kripto madencilerini ve arka kapıları yayıyor

Güvenlik şirketi Sophos ile bir araştırma ekibi, güvenlik açığını kötüye kullanan devam eden yeni bir saldırı kampanyasını izliyor. Saldırı kampanyasını yürüten bilgisayar korsanlarının hedefleri, hala yamasız yazılım çalıştıran VMWare Horizon sunucularıdır.

Bir kez güvenliği ihlal edilen sunuculara birkaç farklı türde arka kapı ve ayrıca cryptominer kötü amaçlı yazılımları bulaşıyor.

Log4Shell kullanılarak sistemlerin güvenliği ihlal edildiğinde, bilgisayar korsanları arka kapı olarak kullanılan meşru uzaktan erişim ve görüntüleme araçlarını kurar.

JavaX, Jin, z0Miner ve Mimu dahil olmak üzere bu saldırılarda kullanılan bir avuç kripto madenci kötü amaçlı araç vardır. Bu kripto madencilerini yayan devam eden kampanyanın, daha eski bir güvenlik açığı kullanan daha eski bir kampanyayla bağlantılı olabileceğine dair kısmi kanıtlar var.

Araştırmacılar, güvenliği ihlal edilmiş VMWare Horizon sunucularında kripto madenciliği ve arka kapı dağıtımının yanı sıra, veri toplama araçlarını dağıtan bu saldırı kampanyasının da farkına vardılar. Saldırılarda kullanılan ek araçlar, cihazlardan yedekleme ve sistem verilerini sıyırmaya çalışır.

Log4Shell – ortadan kalkmayan istismar

Log4Shell'in BT güvenliğini çok uzun bir süre rahatsız edeceği tahminleri gerçek oluyor gibi görünüyor. Saldırganların özellikle çok uğraşmasına bile gerek yok, çünkü açıklardan yararlanmalarda kullanılan temel yazılımı çalıştıran çok sayıda sistem nedeniyle, araştırmacıların tahmin ettiği gibi, muhtemelen önümüzdeki yıllarda yama uygulanmamış örnekler olacaktır.