IOTW: CISA onthult een Log4shell-inbreuk van 130 GB


Voor het eerst ontdekt in december 2021, de Log4Shell-kwetsbaarheid wordt nog steeds uitgebuit door dreigingsactoren, zoals blijkt uit een gezamenlijk advies van de Cybersecurity and Infrastructure Security Agency (CISA) en het United States Coast Guard Cyber ​​Command (CGCYBER) op 23 juni.

Cyberdreigingsactoren hebben misbruik gemaakt van ongepatchte, openbare VMware Horizoneen virtuele desktopprovider, en Unified Access Gateway (UAG) -servers om initiële toegang tot netwerken te krijgen, aldus het gezamenlijke advies.

VMware heeft in december 2021 wel fixes beschikbaar gesteld voor de kwetsbaarheid.

Meerdere dreigingsactoren richten zich op slachtoffers

De gezamenlijke verklaring belicht twee incidenten waarbij de CISA en CGCYBER betrokken waren bij de reactie.
Bij een van de incidenten werd meer dan 130 GB aan data door de security management server naar een buitenlands IP-adres gestuurd.

De CISA had een onsite incidentrespons-opdracht uitgevoerd bij een organisatie (slachtoffer 2) waar CISA bidirectioneel verkeer tussen de organisatie en het vermoedelijke APT-IP-adres 104.223.34 observeerde.[.]198.

Tijdens de respons op incidenten, tussen eind april en mei 2022, stelde de CISA vast dat slachtoffer 2 werd gecompromitteerd door meerdere groepen bedreigingsactoren.

Word lid van de Cyber ​​Security Hub en krijg exclusieve toegang tot onze aankomende digitale evenementen, brancherapporten en deskundige webinars

Volgens de CISA hebben de dreigingsactoren waarschijnlijk eind januari toegang gekregen tot de productieomgeving van het slachtoffer. Nadat ze toegang hadden gekregen tot de VMware Horizon-server, verhuisden ze lateraal via Remote Desktop Protocol (RDP) naar andere hosts in de productieomgeving, waaronder de bovengenoemde beveiligingsbeheerserver.

Gedurende een periode van drie weken communiceerden de beveiligingsbeheer- en certificaatservers met het buitenlandse IP-adres.

Trojaans paard gedetecteerd

Bij het tweede incident dat werd benadrukt, voerde CGCYBER een proactieve opsporing van bedreigingen uit bij een organisatie die werd gecompromitteerd door actoren die Log4Shell in VMware Horizon exploiteerden.

Nadat ze toegang hadden gekregen, uploadden de bedreigingsactoren malware, hmsvc.exe, naar een gecompromitteerd systeem. Tijdens malware-installatie, verbindingen met IP-adres 104.223.34[.]198 werden waargenomen.

Hmsvc.exe is een trojan die zich voordoet als een legitieme Microsoft Windows-service (SysInternals LogonSessions-software) ingebed met een kwaadaardige code. CGCYBER ontdekte dat hmsvc.exe tijdens het draaien het hoogste privilegeniveau had op een Windows-systeem, maar het is niet bekend hoe de acteur dit privilege heeft verhoogd.

Verzachting

Patchen is altijd de belangrijkste actie geweest vanwege de Log4Shell-kwetsbaarheid en de CISA en CGCYBER herhalen dit in hun verklaring van 23 juni.

Patching moet worden geprioriteerd op basis van bekende misbruikte kwetsbaarheden (KEV’s) die worden vermeld op de CISA-website.

Andere acties zijn onder meer zorgen voor strikte toegangscontroles van de netwerkperimeter; geen internetdiensten hosten die niet essentieel zijn voor de bedrijfsvoering; het gebruik van best practices voor identiteits- en toegangsbeheer (IAM); implementatie van multifactor authenticatie (MFA); het gebruik van sterke wachtwoorden afdwingen; en het beperken van gebruikerstoegang via het principe van de minste bevoegdheden.





Source link

Deze site gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.

%d bloggers liken dit: