Nuovi Tentativi di Sfruttare Log4Shell nei Sistemi VMware Horizon: CISA Avverte degli Attori Minacciosi che Sfruttano attivamente la Vulnerabilità CVE-2021-44228 di Apache Log4j

La famigerata vulnerabilità Apache Log4j CVE-2021-44228 nota come Log4Shell continua a perseguitare i difensori cibernetici insieme a rapporti sulle sue attive sfruttamenti in-the-wild. A partire da dicembre 2021, la nefasta falla Log4Shell su server VMware Horizon e Unified Access Gateway (UAG) non patchati è stata ampiamente utilizzata da attori di minacce permettendo loro di ottenere l’accesso iniziale ai sistemi mirati. Secondo il consiglio congiunto di CISA e U.S. Coast Guard Cyber Command (CGCYBER), i difensori cyber delle reti dovrebbero stare attenti a una nuova ondata di tentativi di sfruttamento che sfruttano la falla CVE-2021-44228 nei server esposti al pubblico, esponendo le organizzazioni che non hanno applicato patch o soluzioni alternative pertinenti a gravi rischi cibernetici. 

Rileva Nuovi Tentativi di Sfruttamento di Log4Shell nei Sistemi VMware Horizon

A causa dei crescenti rischi cibernetici, le organizzazioni che utilizzano server VMware vulnerabili alla vulnerabilità Log4Shell stanno continuamente cercando nuovi modi per rafforzare la loro resilienza cyber. La piattaforma Detection as Code di SOC Prime offre un set di regole Sigma curate dai nostri esperti del programma Threat Bounty sviluppatori, Onur Atali and Emir Erdogan, consentendo alle organizzazioni di rilevare i più recenti tentativi di sfruttamento della falla CVE-2021-44228 nei server VMware Horizon e UAG:

Possibile Sfruttamento Log4Shell nei Sistemi VMware Horizon rilevabile tramite File PE Malicious Associati (via file_event)

Questa regola Sigma può essere applicata a 21 piattaforme SIEM e di analisi della sicurezza, incluse soluzioni cloud-native leader del settore. Il rilevamento è allineato al framework MITRE ATT&CK® affrontando la tattica dell’Esecuzione con il Comando e l’Interprete di Scripting (T1059) come tecnica primaria insieme alla tattica di Accesso Iniziale con la corrispondente tecnica di sfruttamento dell’applicazione esposta al pubblico (T1190) consentendo ai difensori cibernetici di identificare il comportamento avversario quando tentano di ottenere accesso iniziale alla rete compromessa. 

Creazione di Compito Pianificato Sospetto dopo Sfruttamento Log4Shell nei Sistemi VMware Horizon (via process_creation)

La detection Sigma di riferimento è compatibile con 23 soluzioni SIEM, EDR e XDR supportate dalla piattaforma SOC Prime e affronta la tattica di Esecuzione ATT&CK rappresentata dalla tecnica Compito/Job Programmato (T1053) per garantire una maggiore visibilità sulle minacce rilevanti. Sfruttando questa regola Sigma, i professionisti della sicurezza possono anche cercare instantaneamente minacce connesse ai più recenti tentativi di sfruttamento Log4Shell grazie al modulo Quick Hunt di SOC Prime  

Grazie alla competenza collettiva di cybersecurity di oltre 23.000 professionisti InfoSec in tutto il mondo, la piattaforma SOC Prime cura una raccolta completa di regole Sigma uniche per il rilevamento dello sfruttamento CVE-2021-44228. Clicca il pulsante Detect & Hunt qui sotto per accedere immediatamente a tutto il contenuto di rilevamento dalla piattaforma SOC Prime filtrata di conseguenza. 

In alternativa, i Threat Hunters, gli specialisti di Cyber Threat Intelligence e gli analisti SOC possono ottimizzare l’indagine delle minacce sfruttando il motore di ricerca delle minacce informatiche di SOC Prime. Clicca il pulsante Explore Threat Context per ottenere un accesso immediato all’elenco dei contenuti di rilevamento relativi a CVE-2021-44228 ed esplorare le informazioni contestuali pertinenti disponibili a portata di mano senza registrazione.

pulsante Detect & Hunt pulsante Explore Threat Context

Avviso AA22-174A dell’Agenzia per la Cybersicurezza e la Sicurezza delle Infrastrutture (CISA): Analisi dei Nuovi Attacchi

I difensori cibernetici stanno esprimendo preoccupazioni su nuovi tentativi di sfruttare vulnerabilità Apache Log4j CVE-2021-44228 anche chiamato Log4Shell, che è apparso per la prima volta a dicembre 2021, continuando a causare scalpore nell’arena delle minacce cibernetiche. Anche a più di sei mesi dalla sua scoperta, i ricercatori continuano ad avvertire la comunità globale dei difensori cibernetici di nuovi tentativi di sfruttamento di Log4Shell. 

CISA in collaborazione con CGCYBER ha recentemente emesso un avviso avvertendo di nuovi attacchi che utilizzano lo sfruttamento Log4Shell. Numerosi collettivi di hacking, inclusi APT sostenuti da nazioni, continuano a utilizzare la falla che colpisce i sistemi VMware Horizon e UAG esposti al pubblico. In precedenza, a febbraio 2021, il gruppo APT TunnelVision collegato all’Iran è stato visto sfruttare Log4Shell su server VMware Horizon non patchati insieme alla falla Fortinet FortiOS e alla vulnerabilità Microsoft Exchange ProxyShell. In questi ultimi attacchi, gli avversari sono stati osservati rilasciare malware loader sui sistemi bersaglio consentendo la connessione al server C2, oltre a applicare movimento laterale ed esfiltrazione dei dati dopo aver ottenuto l’accesso alla rete compromessa.

In these latest attacks, adversaries have been observed dropping loader malware on targeted systems enabling C2 server connection, as well as applying lateral movement and data exfiltration after gaining access to the compromised network.

Per aiutare le organizzazioni a potenziare il loro potenziale difensivo informatico, il consiglio emesso mette in evidenza gli TTP degli avversari basati sul framework MITRE ATT&CK, fornisce IOCs correlati e copre informazioni sul malware loader. Come misure di mitigazione possibili, a tutte le organizzazioni con installazioni VMware Horizon potenzialmente interessate e sistemi UAG si raccomanda vivamente di aggiornare il software interessato alle versioni più recenti, che si riferisce principalmente a patch e soluzioni alternative elencate dal risposta VMware alle vulnerabilità RCE di Apache Log4j. 

Patchare tempestivamente le vulnerabilità note sfruttate e sfruttare le migliori pratiche di cybersecurity del settore consente alle organizzazioni progressive di rafforzare la loro resilienza cyber. Sfruttando la piattaforma Detection as Code di SOC Prime per difesa cibernetica collaborativa, le organizzazioni possono potenziare significativamente le loro capacità di rilevamento e risposta mentre ottengono un valore immediato dai loro investimenti in sicurezza. Inoltre, i ricercatori individuali possono fare la differenza contribuendo alla comunità globale della cybersicurezza e condividendo i loro contenuti di rilevamento tra i professionisti del settore. Unisciti all’iniziativa di crowdsourcing di SOC Prime conosciuta come del programma Threat Bounty per arricchire l’esperienza collettiva di cybersecurity con i tuoi algoritmi di rilevamento e ottenere un’opportunità unica per monetizzare le tue competenze professionali.