El equipo de seguridad digital del Servicio Nacional de Salud del Reino Unido (NHS) ha dado la alarma sobre la explotación activa de las vulnerabilidades de Log4Shell en servidores VMware Horizon sin parches por parte de un actor de amenazas desconocido para eliminar shells web maliciosos y establecer la persistencia en las redes afectadas para ataques posteriores.
«El ataque probable que consiste en una fase de reconocimiento, donde el atacante utiliza el Java Naming and Directory interfaceTM (JNDI) a través de cargas útiles Log4Shell para volver a llamar a la infraestructura maliciosa», el organismo público no departamental dijo en una alerta. «Una vez que se ha identificado una debilidad, el ataque utiliza el Protocolo ligero de acceso a directorios (LDAP) para recuperar y ejecutar un archivo de clase Java malicioso que inyecta un shell web en el servicio VM Blast Secure Gateway».
El shell web, una vez implementado, puede servir como un conducto para llevar a cabo una multitud de actividades posteriores a la explotación, como la implementación de software malicioso adicional, la exfiltración de datos o la implementación de ransomware. Las versiones 7.xy 8.x de VMware Horizon son vulnerables a las vulnerabilidades de Log4j.
Log4Shell es un exploit para CVE-2021-44228 (puntuación CVSS: 10.0), una falla crítica de ejecución de código remoto arbitrario en Apache Log4j 2, un marco de registro de código abierto ubicuo, que se ha utilizado como parte de diferentes campañas de malware desde entonces. salió a la luz en diciembre de 2021. Una serie de grupos de piratería, que van desde actores estatales hasta cárteles de ransomware, se han abalanzado sobre la vulnerabilidad hasta la fecha.
El desarrollo también marca la segunda vez que los productos de VMware se encuentran bajo explotación como resultado de vulnerabilidades en la biblioteca Log4j. El mes pasado, los investigadores de AdvIntel revelaron que los atacantes tenían como objetivo sistemas que ejecutaban servidores VMware VCenter con el objetivo de instalar Conti ransomware.
VMware, por su parte, ya lanzó actualizaciones de seguridad para Horizon, VCenter y otros productos el mes pasado que se vieron afectados por Log4Shell, y el proveedor de servicios de virtualización reconoció los intentos de escaneo en la naturaleza, instando a los clientes a instalar los parches donde corresponda o aplique. soluciones temporales para contrarrestar cualquier riesgo potencial.