آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده (CISA) و فرماندهی سایبری گارد ساحلی (CGCYBER) توصیه امنیتی مشترکی برای هشدار به سازمان‌ها صادر کرده‌اند که اعلام می‌کند عوامل تهدید همچنان از آسیب‌پذیری Log4Shell در سرور‌های VMware Horizon و Unified Access Gateway (UAG) سواستفاده می‌کنند.

آسیب‌پذیری بدنام Log4Shell که در نوامبر ۲۰۲۱ فاش و با نام CVE-۲۰۲۱-۴۴۲۲۸ عنوان و مطرح شد، بر ابزار گزارش‌گیری Apache Log4j که به‌طور گسترده استفاده می‌شود، تأثیر می‌گذارد و به عنوان یک نقص با شدت بحرانی که منجر به اجرای کد از راه دور (RCE) می‌گردد، توصیف می‌شود.

بهره‌برداری از این آسیب‌پذیری کمتر از دو هفته پس از گزارش اشکال آغاز شد و سازمان‌ها را بر آن داشت تا استقرار پچ‌های موجود را در اولویت قرار دهند.

از دسامبر ۲۰۲۱، عوامل تهدید متعددی مشاهده شده‌اند که از آسیب‌پذیری در سرور‌های VMware Horizon و UAG بهره‌برداری می‌کنند، از جمله عوامل تهدید دائمی پیشرفته (APT) با حمایت دولتی. VMware در اوایل دسامبر ۲۰۲۱ اصلاحاتی را برای این آسیب‌پذیری منتشر کرد.

پس از بهره‌برداری موفقیت‌آمیز، دشمنان لودر‌های مخرب را مستقر می‌کنند و در نهایت کنترل از راه دور سیستم‌های در معرض خطر را به دست می‌آورند. CISA و CGCYBER می‌گویند که در یک حمله، عوامل تهدید موفق شدند به صورت جانبی به سمت یک شبکه بازیابی فاجعه حمله کنند و داده‌های حساس را استخراج کنند.

مشاوره مشترک امنیت سایبری (CSA) از CISA و CGCYBER جزئیاتی در مورد تاکتیک‌ها، تکنیک‌ها و رویه‌ها (TTP) به کار گرفته شده توسط عوامل تهدید در حملات مشاهده‌شده، همراه با توصیه‌های واکنش به حادثه ارائه می‌دهد.

مهاجمان می‌توانند از Log4Shell از طریق درخواست‌های ساخته شده ویژه که منجر به اجرای کد دلخواه می‌شود سواستفاده کنند. به دلیل این اشکال، طیف وسیعی از برنامه‌های کاربردی، خدمات، وب‌سایت‌ها و سایر محصولات مصرف‌کننده و سازمانی در معرض حملات احتمالی قرار می‌گیرند.

در طی یکی از حملات مشاهده شده، عوامل تهدید یک ابزار دسترسی از راه دور را به کار بردند که می‌توانست کلید‌های ورودی را ثبت کند، بارگذاری‌ها را مستقر کرده و اجرا کند و دسترسی به دسکتاپ سیستم در معرض خطر را فراهم کند. این بدافزار که به عنوان یک پروکسی تونلینگ Command-and-Control (C&C) عمل می‌کند، همچنین به مهاجمان اجازه می‌دهد تا به صورت جانبی حرکت کنند.

مجموعه CISA در حین تحقیق در مورد به خطر انداختن قربانیان دیگر، نفوذ‌هایی از چندین عامل تهدید را کشف کرد که برخی از آن‌ها از اواخر ژانویه ۲۰۲۲ یا قبل از آن به محیط دسترسی داشتند. مهاجمان احتمالاً از Log4Shell در سرور VMware Horizon پچ‌نشده برای دسترسی اولیه سواستفاده کرده‌اند.

پس از دسترسی اولیه، عوامل تهدید از اسکریپت‌های PowerShell برای استقرار payload‌های اضافی استفاده نموده و با استفاده از پروتکل دسکتاپ از راه دور (RDP) به صورت جانبی حرکت کردند، چندین سیستم از جمله شبکه بازیابی فاجعه قربانی را به خطر انداختند، و بدافزاری را مستقر کردند که قابلیت‌های نظارت، دسترسی ریورس شل، تحویل payload، و قابلیت‌های استخراج داده‌ها را برای آن‌ها فراهم می‌کرد.

مجموعه‌های CISA و CGCYBER می‌گویند که هنگام شناسایی یک نقض احتمالی، ادمین‌ها باید سیستم‌های آسیب‌دیده را ایزوله کنند، گزارش‌ها و آرتیفکت‌ها را جمع‌آوری و بررسی کنند، در صورت لزوم با یک شرکت واکنش‌دهنده حادثه تعامل کنند و حادثه را به CISA یا گارد ساحلی ایالات متحده (USCG) و یا مرکز پاسخ‌دهی ملی (NRC) گزارش دهند.

برای کاهش خطرات و ریسک‌ها، به سازمان‌ها توصیه می‌شود که سیستم‌های VMware Horizon و UAG خود را به‌روزرسانی کنند تا در برابر Log4Shell پچ شوند و با سیستم‌های پچ‌نشده طوری برخورد کنند که گویی در معرض خطر قرار گرفته‌اند. به روز نگه داشتن تمام نرم‌افزار‌ها در هر زمان، به کارگیری تقسیم‌بندی شبکه، اجرای احراز هویت چند عاملی و بهترین شیوه‌ها برای مدیریت هویت و دسترسی (IAM) نیز باید خطرات را کاهش دهد.

در گزارش CSA آمده است که: «تا زمانی که به‌روزرسانی [VMware] به طور کامل پیاده‌سازی نشود، برای محدود کردن دامنه ترافیک، اجزای آسیب‌پذیر را از اینترنت جدا کنید. در حین نصب به‌روزرسانی‌ها، اطمینان حاصل کنید که کنترل‌های دسترسی محیطی شبکه تا حد امکان محدود هستند. »