Nuevos Intentos de Explotar Log4Shell en Sistemas VMware Horizon: CISA Advierte sobre Actores de Amenazas que Aprovechan Activamente la Vulnerabilidad CVE-2021-44228 de Apache Log4j

La notoria vulnerabilidad de Apache Log4j CVE-2021-44228 también conocida como Log4Shell sigue acosando a los defensores cibernéticos junto con informes sobre sus explotaciones activas en el entorno. A partir de diciembre de 2021, la nefasta falla Log4Shell en servidores VMware Horizon y Unified Access Gateway (UAG) no parcheados ha sido ampliamente utilizada por actores maliciosos, permitiéndoles obtener acceso inicial a los sistemas objetivo. Según el asesor conjunto de CISA y Comando Cibernético de la Guardia Costera de EE.UU. (CGCYBER), los defensores cibernéticos de red deben estar atentos a una nueva ola de intentos de explotación que aprovechan la falla CVE-2021-44228 en los servidores expuestos al público que exponen a las organizaciones que no han aplicado parches o soluciones alternativas relevantes a riesgos cibernéticos severos. 

Detectar Nuevos Intentos de Explotación de Log4Shell en Sistemas VMware Horizon

Debido al aumento de los riesgos cibernéticos, las organizaciones que están utilizando servidores VMware vulnerables a la vulnerabilidad Log4Shell continúan buscando nuevas formas de reforzar su resiliencia cibernética. La plataforma de Deteción como Código de SOC Prime ofrece un conjunto de reglas Sigma curadas por nuestro atento Programa Threat Bounty desarrolladores, Onur Atali and Emir Erdogan, permitiendo a las organizaciones detectar los últimos intentos de explotación de la falla CVE-2021-44228 en servidores VMware Horizon y UAG:

Posible Explotación de Log4Shell en Sistemas VMware Horizon mediante Detección de Archivos PE Maliciosos Asociados (vía file_event)

Esta regla Sigma puede aplicarse en 21 plataformas de SIEM y análisis de seguridad, incluidas soluciones líderes de la industria nativas de la nube. La detección se alinea con el marco MITRE ATT&CK® abordando la táctica de Ejecución con el Interprete de Comando y Secuencias de Comandos (T1059) como técnica principal junto con la táctica de Acceso Inicial con la técnica correspondiente de Explotación de Aplicación con Cara al Público (T1190), permitiendo a los defensores cibernéticos identificar el comportamiento del adversario cuando intentan obtener acceso inicial a la red comprometida. 

Creación de Tarea Programada Sospechosa después de una Explotación de Log4shell en Sistemas WMware Horizon (vía process_creation)

La detección Sigma antes mencionada es compatible con 23 soluciones de SIEM, EDR y XDR compatibles con la plataforma de SOC Prime y aborda la táctica ATT&CK de Ejecución representada por la técnica de Tarea/Trabajo Programado (T1053) para asegurar una mayor visibilidad de las amenazas relevantes. Aprovechando esta regla Sigma, los profesionales de seguridad también pueden buscar instantáneamente amenazas relacionadas con los intentos de explotación más recientes de Log4Shell con la ayuda del módulo Quick Hunt de SOC Prime.  module. 

Impulsado por la experiencia colectiva en ciberseguridad de más de 23,000 profesionales de InfoSec en todo el mundo, la plataforma de SOC Prime cura una colección comprensiva de reglas Sigma únicas para la detección de la explotación de CVE-2021-44228. Haga clic en el botón Detectar & Buscar a continuación para profundizar instantáneamente en todo el contenido de detección de la plataforma de SOC Prime filtrado en consecuencia. 

Alternativamente, los Cazadores de Amenazas, los especialistas en Inteligencia de Amenazas Cibernéticas y los Analistas de SOC pueden optimizar la investigación de amenazas aprovechando el motor de búsqueda de amenazas cibernéticas de SOC Prime. Haga clic en el botón Explorar Contexto de Amenaza para obtener acceso instantáneo a la lista de contenido de detección relacionado con CVE-2021-44228 e indagar en la información contextual relevante disponible a su alcance sin necesidad de registro.

Detectar & Buscar Explorar Contexto de Amenaza

AA22-174A Advertencia de la Agencia de Seguridad Cibernética e Infraestructura (CISA): Nuevo Análisis de Ataques

Los defensores cibernéticos están expresando preocupaciones sobre nuevos intentos de explotar vulnerabilidad de Apache Log4j CVE-2021-44228 también conocido como Log4Shell, que apareció por primera vez en diciembre de 2021, y que todavía causa revuelo en el ámbito de las amenazas cibernéticas. Incluso más de medio año después de su descubrimiento, los investigadores continúan advirtiendo a la comunidad de defensores cibernéticos a nivel mundial sobre nuevos intentos de explotación de Log4Shell. 

CISA en colaboración con CGCYBER ha emitido una alerta advirtiendo sobre nuevos ataques usando la explotación Log4Shell. Múltiples colectivos de hackers, incluidos APTs respaldados por naciones, continúan armando la falla que afecta a los sistemas VMware Horizon y UAG orientados al público. Anteriormente, en febrero de 2021, se observó al grupo APT TunnelVision vinculado a Irán explotando Log4Shell en servidores VMware Horizon no parcheados junto con la falla Fortinet FortiOS y la vulnerabilidad Microsoft Exchange ProxyShell.

En estos últimos ataques, se ha observado que los adversarios dejan malware de carga útil en los sistemas objetivo, permitiendo la conexión a un servidor C2, así como aplicando movimiento lateral y exfiltración de datos después de obtener acceso a la red comprometida.

Para ayudar a las organizaciones a aumentar su potencial de defensa cibernética, el asesor emitido destaca las TTP del adversario basadas en el marco MITRE ATT&CK, proporciona IOCs relacionados y cubre información sobre el malware de carga. Como medidas de mitigación posibles, se recomienda encarecidamente a todas las organizaciones con instalaciones potencialmente afectadas de VMware Horizon y sistemas UAG actualizar el software afectado a las versiones más recientes, que principalmente se refiere a parches y soluciones alternativas listadas por la respuesta de VMware a las vulnerabilidades de RCE de Apache Log4j. 

Parchear a tiempo las vulnerabilidades conocidas explotadas y aprovechar las mejores prácticas de ciberseguridad de la industria permite a las organizaciones progresivas fortalecer su resiliencia cibernética. Aprovechar la plataforma de Deteción como Código de SOC Prime para defensa cibernética colaborativa, permite a las organizaciones mejorar significativamente sus capacidades de detección y respuesta mientras aprovechan el valor inmediato de sus inversiones en seguridad. Además, los investigadores individuales pueden marcar la diferencia contribuyendo a la comunidad de ciberseguridad global y compartiendo su propio contenido de detección entre sus pares de la industria. Únase a la iniciativa de crowdsourcing de SOC Prime conocida como Programa Threat Bounty enriquecer la experiencia colectiva en ciberseguridad con sus propios algoritmos de detección y obtener una oportunidad única de monetizar sus habilidades profesionales.