Apache Log4j(CVE-2021-44228,Log4Shell)漏洞自去年底揭露以來,仍不斷有攻擊者試圖尋找尚未修補的受害者。美國網路安全暨基礎架構安全署(CISA)及美國海岸警衛隊網路司令部(CGCYBER)聯合發出安全公告,駭客近2個月仍利用VMware Horizon、Unified Access Gateway(UAC)伺服器尚未修補Log4Shell漏洞,駭入企業或政府單位。

根據CISA與CGCYBER的安全公告,為害的攻擊者包括國家駭客(advanced persistent thereat,APT),他們是利用VMware Horizon及UAG的Log4Shell漏洞得以存取受害者網路。公告中,駭客進入一個受害組織網路後,植入了Windows下載器hmsvc.exe,它是利用Windows 合法服務(ysInternals LogonSessions軟體)加入有害程式碼,再在合法掩護下安裝,並於受害者網路內建立和外部C&C伺服器的連線以便執行日後攻擊指令。該程式甚至取得NT AUTHORITY\SYSTEM管理員權限得以執行。

而在CISA證實的一項攻擊案例中,攻擊者進入受害者網路後在網路內橫向移動。攻擊者利用RDP(Remote Desktop Protocol)協定連向生產環境中的其他多臺主機,包括安全管理伺服器、憑證伺服器、包含敏感執法資料的資料庫,以及郵件轉接伺服器,甚至受害者的災難復原網路。攻擊者甚至取得了多個用戶帳號,包括管理員帳號。在這些被駭入的主機上,攻擊者也植入下載器程式,包括建立C&C伺服器連線的惡意程式。

CISA相信前述攻擊事件的受害者,其實遭到多個駭客組織攻擊,而在四、五月的3周期間,光是安全管理伺服器就有超過130GB資料被傳入位於外國IP位址的伺服器。此外也在一個被駭的管理員帳號下發現包含執法調查資料的.rar檔案,估計準備要送出去。

CISA及CGCYBER再次呼籲VMware用戶應儘速升級到最新版軟體,並建議用戶將重要服務建立在有嚴格網路周界存取控管的DMZ,在內部網路不要執行面向網際網路的不重要服務。此外也應實施多因素驗證,使用強密碼及最低權限以限制使用者存取。

CISA五月間還針對另一個影響多個VMware 產品(Workspace ONE Access、Identity Manager等)的RCE漏洞CVE-2022-22954發出緊急安全公告,指出一個大型組織環境正遭到攻擊。

 相關報導 

熱門新聞

Advertisement