Nouvelles Tentatives d’Exploitation de Log4Shell dans les Systèmes VMware Horizon : CISA Avertit des Acteurs Menace Exploitant Activement CVE-2021-44228 Vulnérabilité Apache Log4j

Le notoire vulnérabilité CVE-2021-44228 Apache Log4j également connue sous le nom de Log4Shell hante encore les défenseurs informatiques avec des rapports sur ses exploitations actives dans la nature. À partir de décembre 2021, la faille néfaste Log4Shell sur les serveurs VMware Horizon et Unified Access Gateway (UAG) non corrigés a été largement utilisée par des acteurs menaçants leur permettant de gagner un accès initial aux systèmes ciblés. Selon le avis conjoint de la CISA et du Cyber Commandement de la Garde côtière des États-Unis (CGCYBER), les défenseurs informatiques doivent se méfier d’une nouvelle vague de tentatives d’exploitation utilisant la faille CVE-2021-44228 dans les serveurs exposés au public, exposant ainsi les organisations qui n’ont pas appliqué les correctifs ou solutions de contournement pertinents à de graves risques informatiques. 

Détecter de nouvelles tentatives d’exploitation de Log4Shell dans les systèmes VMware Horizon

En raison de l’augmentation des risques informatiques, les organisations utilisant des serveurs VMware vulnérables à la vulnérabilité Log4Shell s’efforcent continuellement de chercher de nouvelles façons de renforcer leur résilience informatique. La plateforme Detection as Code de SOC Prime offre un ensemble de règles Sigma élaborées par notre programme de récompense des menaces développeurs, Onur Atali and Emir Erdogan, permettant aux organisations de détecter les dernières tentatives d’exploitation de la faille CVE-2021-44228 dans les serveurs VMware Horizon et UAG :

Possible exploitation de Log4Shell dans les systèmes VMware Horizon par détection de fichiers PE malveillants associés (via file_event)

Cette règle Sigma peut être appliquée sur 21 plateformes SIEM et d’analyse de sécurité, y compris des solutions cloud natives de premier plan. La détection est alignée avec le cadre MITRE ATT&CK® abordant la tactique d’exécution avec l’Interprète de Commande et de Script (T1059) comme technique principale ainsi qu’avec la tactique d’Accès Initial avec la technique Exploit Application Exposée au Public (T1190) permettant aux défenseurs informatiques d’identifier le comportement des adversaires lorsqu’ils tentent de gagner un accès initial au réseau compromis. 

Création de tâche planifiée suspecte après l’exploitation de Log4Shell dans les systèmes VMware Horizon (via process_creation)

La détection Sigma référencée ci-dessus est compatible avec 23 solutions SIEM, EDR et XDR prises en charge par la plateforme de SOC Prime et aborde la tactique ATT&CK d’exécution représentée par la technique de Tâches/Emplois Planifiés (T1053) pour assurer une meilleure visibilité sur les menaces pertinentes. Grâce à cette règle Sigma, les praticiens de sécurité peuvent également rechercher instantanément les menaces liées aux tentatives d’exploitation Log4Shell les plus récentes à l’aide de le module Quick Hunt de SOC Prime. 

Alimentée par l’expertise collective en cybersécurité de plus de 23 000 praticiens InfoSec à travers le monde, la plateforme de SOC Prime garantit une collection complète de règles Sigma uniques pour la détection des exploitations de la CVE-2021-44228. Cliquez sur le bouton Détecter & Chasser ci-dessous pour examiner instantanément tous les contenus de détection de la plateforme SOC Prime, filtré en conséquence. 

Alternativement, les chasseurs de menaces, spécialistes en renseignement sur les menaces informatiques et analystes SOC peuvent rationaliser l’enquête sur les menaces en utilisant le moteur de recherche de menaces informatiques de SOC Prime. Cliquez sur le bouton Explorer le Contexte des Menaces pour accéder instantanément à la liste du contenu de détection lié à la CVE-2021-44228 et plonger dans les informations contextuelles pertinentes disponibles à portée de main sans inscription.

bouton Détecter & Chasser bouton Explorer le Contexte des Menaces

Avertissement de l’Agence de Cybersécurité et de Sécurité des Infrastructures (CISA) AA22-174A : Nouvelle analyse des attaques

Les défenseurs informatiques expriment leurs inquiétudes face à de nouvelles tentatives d’exploitation vulnérabilité CVE-2021-44228 Apache Log4j également appelée Log4Shell qui est apparue pour la première fois en décembre 2021, provoquant encore des remous dans le domaine des menaces informatiques. Même plus de six mois après sa découverte, les chercheurs continuent d’avertir la communauté mondiale des défenseurs informatiques des nouvelles tentatives d’exploitation de Log4Shell. 

La CISA, en collaboration avec le CGCYBER, a récemment émis une alerte mettant en garde contre de nouvelles attaques utilisant l’exploitation Log4Shell. Divers collectifs de piratage, y compris des APT soutenues par des États-nations, continuent d’exploiter la faille affectant les systèmes VMware Horizon et UAG exposés au public. Plus tôt, en février 2021, le groupe APT TunnelVision lié à l’Iran a été observé exploitant Log4Shell sur des serveurs VMware Horizon non corrigés ainsi que la faille de Fortinet FortiOS et la vulnérabilité Microsoft Exchange ProxyShell.

Dans ces dernières attaques, des adversaires ont été observés déposant des malwares de chargeurs sur les systèmes ciblés permettant une connexion au serveur C2, ainsi qu’à effectuer des mouvements latéraux et une exfiltration de données après avoir accédé au réseau compromis.

Pour aider les organisations à renforcer leur potentiel de défense informatique, l’avis délivré met en avant les TTP des adversaires basées sur le cadre MITRE ATT&CK, fournit les IOCs associés et couvre des informations sur le malware de chargeur. Parmi les mesures d’atténuation possibles, toutes les organisations avec des installations de VMware Horizon potentiellement affectées et des systèmes UAG sont fortement recommandées d’actualiser les logiciels impactés aux dernières versions, ce qui se réfère principalement aux correctifs et solutions de contournement listées par la réponse de VMware aux vulnérabilités RCE d’Apache Log4j. 

Corriger à temps les vulnérabilités exploitées connues et adopter les meilleures pratiques en matière de cybersécurité permet aux organisations progressistes de renforcer leur résilience informatique. En exploitant la plateforme Detection as Code de SOC Prime pour une défense informatique collaborative, les organisations peuvent significativement renforcer leurs capacités de détection et de réponse tout en tirant une valeur immédiate de leurs investissements en sécurité. De plus, les chercheurs individuels peuvent faire une différence en contribuant à la communauté mondiale de cybersécurité et en partageant leurs propres contenus de détection avec leurs pairs de l’industrie. Participez à l’initiative de crowdsourcing de SOC Prime connue sous le nom programme de récompense des menaces pour enrichir l’expertise collective en cybersécurité avec vos propres algorithmes de détection et obtenir une opportunité unique de monétiser vos compétences professionnelles.