CISA advirtió hoy que los actores de amenazas, incluidos los grupos de piratería respaldados por el estado, todavía están apuntando a los servidores VMware Horizon y Unified Access Gateway (UAG) utilizando la vulnerabilidad de ejecución remota de código Log4Shell (CVE-2021-44228).
Los atacantes pueden explotar Log4Shell de forma remota en servidores vulnerables expuestos al acceso local o de Internet para moverse lateralmente a través de las redes hasta que obtengan acceso a los sistemas internos que contienen datos confidenciales.
Después de su divulgación en diciembre de 2021, varios actores de amenazas comenzaron a buscar y explotar sistemas sin parches , incluidos grupos de piratería respaldados por el estado de China, Irán, Corea del Norte y Turquía, así como varios corredores de acceso comúnmente utilizados por bandas de ransomware.
Hoy, en un aviso conjunto con el Comando Cibernético de la Guardia Costera de los EE. UU. (CGCYBER), la agencia de seguridad cibernética dijo que los servidores se han visto comprometidos mediante los exploits de Log4Shell para obtener acceso inicial a las redes de las organizaciones objetivo.
Después de violar las redes, implementaron varias cepas de malware que les proporcionaron el acceso remoto necesario para implementar cargas útiles adicionales y filtrar cientos de gigabytes de información confidencial.
«Como parte de esta explotación, los presuntos actores de APT implantaron malware de cargador en sistemas comprometidos con ejecutables integrados que permiten el comando y control remotos (C2)», reveló el aviso .
«En un compromiso confirmado, estos actores APT pudieron moverse lateralmente dentro de la red, obtener acceso a una red de recuperación ante desastres y recopilar y filtrar datos confidenciales».
Los sistemas VMware sin parches deben considerarse comprometidos
Se recomienda a las organizaciones que aún no hayan parcheado sus servidores VMware que los etiqueten como pirateados e inicien los procedimientos de respuesta a incidentes (IR).
Los pasos necesarios para una respuesta adecuada en tal situación incluyen el aislamiento inmediato de los sistemas potencialmente afectados, la recopilación y revisión de registros y artefactos relevantes, la contratación de expertos en IR de terceros (si es necesario) y la notificación del incidente a CISA.
«CISA y CGCYBER recomiendan a todas las organizaciones con sistemas afectados que no aplicaron de inmediato los parches o soluciones alternativas disponibles que asuman compromisos e inicien actividades de caza de amenazas utilizando los IOC proporcionados en este CSA, Informe de análisis de malware (MAR) -10382580-1 y MAR-10382254 -1 «, dijeron las dos agencias.
«Si se detecta un posible compromiso, los administradores deben aplicar las recomendaciones de respuesta a incidentes incluidas en este CSA e informar los hallazgos clave a CISA».
El aviso de hoy se produce después de que VMware también instara a los clientes en enero a proteger los servidores VMware Horizon expuestos a Internet contra los continuos ataques de Log4Shell.
Desde principios de año, los servidores VMware Horizon han sido el objetivo de los actores de amenazas de habla china para implementar el ransomware Night Sky , el APT norcoreano Lazarus para implementar ladrones de información y el grupo de piratería alineado con Irán TunnelVision para implementar puertas traseras .
Hasta que pueda instalar compilaciones parcheadas mediante la actualización de todos los servidores VMware Horizon y UAG afectados a las últimas versiones, puede reducir la superficie de ataque «alojando servicios esenciales en una zona desmilitarizada segregada (DMZ)», implementando firewalls de aplicaciones web (WAF) y «garantizar estrictos controles de acceso al perímetro de la red».