Neue Versuche, Log4Shell in VMware Horizon-Systemen auszunutzen: CISA warnt vor Bedrohungsakteuren, die aktiv die Sicherheitslücke CVE-2021-44228 in Apache Log4j ausnutzen
Inhaltsverzeichnis:
Die berüchtigte CVE-2021-44228 Apache Log4j Schwachstelle alias Log4Shell, verfolgt weiterhin Cyber-Verteidiger zusammen mit Berichten über aktive Ausnutzungen in freier Wildbahn. Seit Dezember 2021 wird die niederträchtige Log4Shell-Schwachstelle auf ungepatchten VMware Horizon- und Unified Access Gateway (UAG)-Servern von Bedrohungsakteuren weit verbreitet ausgenutzt, was ihnen ermöglicht, ersten Zugang zu den Zielsystemen zu erhalten. Laut dem gemeinsamen Hinweis von CISA und U.S. Coast Guard Cyber Command (CGCYBER), sollten Netzwerk-Cyber-Verteidiger auf eine neue Welle von Ausnutzungsversuchen achten, die die CVE-2021-44228-Schwachstelle in öffentlich zugänglichen Servern ausnutzen und Organisationen, die keine relevanten Patches oder Workarounds angewendet haben, erheblichen Cyberrisiken aussetzen.
Erkennung neuer Versuche, Log4Shell in VMware Horizon-Systemen auszunutzen
Aufgrund steigender Cyberrisiken bemühen sich Organisationen, die VMware-Server nutzen, die anfällig für die Log4Shell-Schwachstelle sind, kontinuierlich, neue Wege zu finden, um ihre Cyber-Resilienz zu verstärken. SOC Primes Detection as Code-Plattform bietet eine Reihe maßgeschneiderter Sigma-Regeln entwickelt von unserem engagierten Threat Bounty Program Entwicklerteam, Onur Atali and Emir Erdogan, die es Organisationen ermöglichen, die neuesten Ausnutzungsversuche der CVE-2021-44228-Schwachstelle in VMware Horizon- und UAG-Servern zu erkennen:
Diese Sigma-Regel kann auf 21 SIEMs und Sicherheitsanalyseplattformen angewendet werden, einschließlich führender cloudnativer Lösungen der Branche. Die Erkennung ist an den MITRE ATT&CK®-Rahmen ausgerichtet und adressiert die Taktik der Ausführung mit dem primären Kommando- und Skript-Interpreter (T1059) sowie die Taktik des ersten Zugangs mit der entsprechenden Technik der Ausnutzung öffentlich zugänglicher Anwendungen (T1190), um Cyber-Verteidigern zu ermöglichen, das Verhalten des Gegners zu identifizieren, wenn dieser versucht, ersten Zugang zum kompromittierten Netzwerk zu erlangen.
Die oben genannte Sigma-Erkennung ist kompatibel mit 23 SIEM-, EDR- und XDR-Lösungen, die von SOC Primes Plattform unterstützt werden, und adressiert die ATT&CK-Taktik der Ausführung, dargestellt durch die Technik der geplanten Aufgabe/Job (T1053), um eine verbesserte Sicht auf relevante Bedrohungen zu gewährleisten. Mit dieser Sigma-Regel können Sicherheitsexperten auch sofort nach Bedrohungen im Zusammenhang mit den jüngsten Log4Shell-Ausnutzungsversuchen suchen, mit Hilfe des SOC Prime’s Quick Hunt Moduls.
Angetrieben von der kollektiven Cybersecurity-Expertise von über 23.000 InfoSec-Praktikern weltweit, kuratiert SOC Primes Plattform eine umfassende Sammlung einzigartiger Sigma-Regeln zur Erkennung der CVE-2021-44228-Ausnutzung. Klicke auf den Detect & Hunt Button unten, um sofort zu allen Erkennungsinhalten von SOC Primes Plattform zu gelangen, die entsprechend gefiltert sind.
Alternativ können Bedrohungsjäger, Cyber-Threat-Intelligence-Spezialisten und SOC-Analysten die Bedrohungsermittlung vereinfachen, indem sie die Suchmaschine für Cyberbedrohungen von SOC Prime nutzen. Klicke auf den Erforschen Bedrohungskontext Button, um sofortigen Zugang zu der Liste der Erkennungsinhalte im Zusammenhang mit CVE-2021-44228 zu erhalten und in die relevanten kontextuellen Informationen einzutauchen, die dir ohne Registrierung zur Verfügung stehen.
Detect & Hunt Erforschen Bedrohungskontext
AA22-174A Cybersecurity and Infrastructure Security Agency (CISA) Warnung: Neue Angriffsanalyse
Cyber-Verteidiger äußern Bedenken hinsichtlich neuer Versuche, CVE-2021-44228 Apache Log4j Schwachstelle auch Log4Shell genannt, das im Dezember 2021 erstmals in Erscheinung trat und noch immer für Aufsehen in der Cyber-Bedrohungslandschaft sorgt, auszunutzen. Selbst mehr als ein halbes Jahr nach seiner Entdeckung warnen Forscher weiterhin die globale Cyber-Verteidiger-Community vor neuen Ausnutzungsversuchen von Log4Shell.
CISA hat kürzlich in Zusammenarbeit mit CGCYBER eine Alarmmeldung herausgegeben in der sie vor neuen Angriffen mit der Log4Shell-Ausnutzung warnt. Mehrere Hacker-Kollektive, einschließlich staatlich unterstützter APTs, nutzen weiterhin die Schwachstelle aus, die öffentlich zugängliche VMware Horizon- und UAG-Systeme betrifft. Bereits im Februar 2021 wurde die iranische TunnelVision APT-Gruppe beim Ausnutzen von Log4Shell auf ungepatchten VMware Horizon-Servern sowie bei der Fortinet FortiOS-Schwachstelle und der ProxyShell-Schwachstelle in Microsoft Exchange beobachtet.
In diesen jüngsten Angriffen wurden Gegner beim Einsetzen von Loader-Malware auf Zielsystemen beobachtet, wodurch eine Verbindung zu C2-Servern ermöglicht wird, sowie bei der lateralen Bewegung und Datenexfiltration nach dem Zugriff auf das kompromittierte Netzwerk.
Um Organisationen zu helfen, ihr Cyberabwehrpotenzial zu steigern, hebt der ausgegebene Hinweis die gegnerischen TTPs basierend auf dem MITRE ATT&CK-Rahmen hervor, bietet zugehörige IOCs und deckt Informationen zur Loader-Malware ab. Als mögliche Abhilfemaßnahmen werden alle Organisationen mit potenziell betroffenen VMware Horizon-Installationen und UAG-Systemen dringend empfohlen, die betroffene Software auf die neuesten Versionen zu aktualisieren, was sich hauptsächlich auf die im Zusammenhang mit der VMware-Reaktion auf Apache Log4j RCE-Schwachstellen aufgeführten Patches und Workarounds bezieht.
Das zeitnahe Patchen bekannter ausgenutzter Schwachstellen und die Nutzung der branchenbesten Cybersecurity-Praktiken ermöglicht es progressiven Organisationen, ihre Cyber-Resilienz zu stärken. Durch die Nutzung der SOC Primes Detection as Code-Plattform für kollaborative Cyberabwehr können Organisationen ihre Erkennungs- und Reaktionsfähigkeiten erheblich steigern und gleichzeitig sofortigen Wert aus ihren Sicherheitsinvestitionen ziehen. Darüber hinaus können einzelne Forscher einen Unterschied machen, indem sie zur globalen Cybersecurity-Community beitragen und ihre eigenen Erkennungsinhalte unter Branchenkollegen teilen. Treten Sie SOC Primes Crowdsourcing-Initiative bei, die als Threat Bounty Program bekannt ist, um die kollektive Cybersecurity-Expertise mit Ihren eigenen Erkennungsalgorithmen zu bereichern und die einzigartige Gelegenheit zu erhalten, Ihre beruflichen Fähigkeiten zu monetarisieren.
