Novas Tentativas de Exploitar Log4Shell em Sistemas VMware Horizon: CISA Adverte sobre Atores de Ameaça Usando Ativamente a Vulnerabilidade CVE-2021-44228 no Apache Log4j
Índice:
A notória vulnerabilidade CVE-2021-44228 do Apache Log4j também conhecida como Log4Shell ainda assombra os defensores cibernéticos juntamente com relatórios sobre suas explorações ativas em campo. A partir de dezembro de 2021, a nefasta falha Log4Shell em servidores VMware Horizon e Unified Access Gateway (UAG) não corrigidos foi amplamente armada por agentes de ameaça, permitindo que eles obtenham acesso inicial aos sistemas alvo. De acordo com o conjunto de conselhos do CISA e do Comando Cibernético da Guarda Costeira dos EUA (CGCYBER), os defensores cibernéticos de rede devem se atentar para uma nova onda de tentativas de exploração alavancando a falha CVE-2021-44228 em servidores voltados para o público, expondo organizações que não aplicaram patches ou soluções alternativas relevantes a riscos cibernéticos severos.
Detectar Novas Tentativas de Exploração do Log4Shell em Sistemas VMware Horizon
Devido ao aumento dos riscos cibernéticos, as organizações que utilizam servidores VMware vulneráveis à vulnerabilidade Log4Shell estão continuamente se esforçando para procurar novas maneiras de reforçar sua resiliência cibernética. A plataforma Detection as Code da SOC Prime oferece um conjunto de regras Sigma elaboradas pelo nosso atento programa Threat Bounty desenvolvedores, Onur Atali and Emir Erdogan, permitindo que as organizações detectem as últimas tentativas de exploração da falha CVE-2021-44228 em servidores VMware Horizon e UAG:
Esta regra Sigma pode ser aplicada em 21 plataformas de SIEM e análises de segurança, incluindo soluções líderes em nuvem. A detecção está alinhada com o framework MITRE ATT&CK® endereçando a tática de Execução com o Intérprete de Comando e Script (T1059) como sua técnica principal, juntamente com a tática de Acesso Inicial com a técnica correspondente de Exploração de Aplicação Exposta ao Público (T1190), permitindo que os defensores cibernéticos identifiquem o comportamento do adversário quando tentam obter acesso inicial à rede comprometida.
A detecção Sigma acima-referenciada é compatível com 23 soluções de SIEM, EDR e XDR suportadas pela plataforma da SOC Prime e atende à tática de Execução ATT&CK representada pela técnica de Tarefa/Job Agendada (T1053) para garantir visibilidade aprimorada em ameaças relevantes. Aproveitando esta regra Sigma, os profissionais de segurança podem também caçar instantaneamente ameaças relacionadas às tentativas de exploração mais recentes do Log4Shell com a ajuda do módulo Quick Hunt da SOC Prime. módulo.
Apoiado pelo coletivo de expertise em cibersegurança de mais de 23.000 profissionais de InfoSec em todo o mundo, a plataforma da SOC Prime seleciona uma coleção abrangente de regras Sigma exclusivas para detecção de exploração CVE-2021-44228. Clique no Detectar & Caçar botão abaixo para acessar todo o conteúdo de detecção da plataforma da SOC Prime filtrado de acordo.
Alternativamente, Caçadores de Ameaças, especialistas em Inteligência de Ameaças Cibernéticas e Analistas de SOC podem agilizar a investigação de ameaças utilizando o motor de busca de ameaças cibernéticas da SOC Prime. Clique no Explorar Contexto da Ameaça botão para obter acesso instantâneo à lista de conteúdo de detecção relacionado à CVE-2021-44228 e mergulhar nas informações contextuais relevantes disponíveis ao seu alcance sem registro.
Detectar & Caçar Explorar Contexto da Ameaça
Alerta da Agência de Segurança Cibernética e de Infraestrutura (CISA) AA22-174A: Análise de Novos Ataques
Os defensores cibernéticos estão expressando preocupações sobre novas tentativas de explorar vulnerabilidade CVE-2021-44228 do Apache Log4j também chamado de Log4Shell que apareceu pela primeira vez em dezembro de 2021, e ainda causa alvoroço no cenário de ameaças cibernéticas. Mesmo após mais de meio ano desde sua descoberta, pesquisadores continuam a alertar a comunidade global de defensores cibernéticos sobre novas tentativas de exploração do Log4Shell.
A CISA em colaboração com o CGCYBER recentemente emitiu um alerta alertando sobre novos ataques utilizando a exploração do Log4Shell. Múltiplos coletivos de hackers, incluindo APTs apoiados por nações, continuam a armar a falha que afeta sistemas VMware Horizon e UAG voltados para o público. Anteriormente, em fevereiro de 2021, o grupo TunnelVision APT ligado ao Irã foi visto explorando o Log4Shell em servidores VMware Horizon não corrigidos junto com a falha de Fortinet FortiOS e vulnerabilidade ProxyShell do Microsoft Exchange.
Nesses últimos ataques, adversários foram observados enviando malware carregador em sistemas alvo, permitindo conexão com servidores de C2, bem como aplicando movimento lateral e exfiltração de dados após obter acesso à rede comprometida.
Para ajudar as organizações a aumentarem seu potencial de defesa cibernética, o aviso emitido destaca as TTPs do adversário com base no framework MITRE ATT&CK, fornece IOCs relacionados e cobre informações sobre o malware carregador. Como medidas de mitigação possíveis, todas as organizações com instalações VMware Horizon potencialmente afetadas e sistemas UAG são fortemente recomendadas a atualizar o software afetado para as versões mais recentes, o que se refere principalmente a patches e soluções alternativas listadas pela resposta da VMware às vulnerabilidades RCE do Apache Log4j.
A aplicação oportuna de patches para vulnerabilidades conhecidas exploradas e o uso das melhores práticas de cibersegurança do setor permite que organizações progressivas fortaleçam sua resiliência cibernética. Aproveitando a plataforma Detection as Code da SOC Prime para defesa cibernética colaborativa, as organizações podem aumentar significativamente suas capacidades de detecção e resposta enquanto geram valor imediato de seus investimentos em segurança. Além disso, pesquisadores individuais podem fazer a diferença contribuindo para a comunidade global de cibersegurança e compartilhando seu próprio conteúdo de detecção entre pares da indústria. Junte-se à iniciativa de crowdsourcing da SOC Prime conhecida como programa Threat Bounty para enriquecer o expertise coletivo em cibersegurança com seus próprios algoritmos de detecção e ganhe uma oportunidade única de monetizar suas habilidades profissionais.
