L’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA), ainsi que le Coast Guard Cyber Command (CGCYBER), ont publié jeudi un avertissement conjoint sur les tentatives continues de la part des acteurs de la menace d’exploiter la faille Log4Shell dans les serveurs VMware Horizon pour atteindre la cible. réseaux.
« Depuis décembre 2021, plusieurs groupes d’acteurs malveillants ont exploité Log4Shell sur VMware Horizon non corrigé et accessible au public et [Unified Access Gateway] serveurs », les agences a dit. « Dans le cadre de cette exploitation, des acteurs présumés d’APT ont implanté des logiciels malveillants de chargeur sur des systèmes compromis avec des exécutables intégrés permettant la commande et le contrôle à distance (C2). »
Dans un cas, l’adversaire aurait pu se déplacer latéralement à l’intérieur du réseau de la victime, obtenir l’accès à un réseau de reprise après sinistre et collecter et exfiltrer des données sensibles des forces de l’ordre.
Log4Shell, suivi comme CVE-2021-44228 (score CVSS : 10,0), est une vulnérabilité d’exécution de code à distance affectant la bibliothèque de journalisation Apache Log4j qui est utilisée par un large éventail de services grand public et d’entreprise, de sites Web, d’applications et d’autres produits.
L’exploitation réussie de la faille pourrait permettre à un attaquant d’envoyer une commande spécialement conçue à un système affecté, permettant aux acteurs d’exécuter un code malveillant et de prendre le contrôle de la cible.
Sur la base des informations recueillies dans le cadre de deux missions de réponse aux incidents, les agences ont déclaré que les attaquants avaient armé l’exploit pour supprimer des charges utiles malveillantes, y compris des scripts PowerShell et un outil d’accès à distance appelé « hmsvc.exe » qui est équipé de capacités pour enregistrer les frappes au clavier et déployer d’autres logiciels malveillants.
« Le logiciel malveillant peut fonctionner comme un proxy de tunnellisation C2, permettant à un opérateur distant de pivoter vers d’autres systèmes et de se déplacer plus loin dans un réseau », ont noté les agences, ajoutant qu’il offre également un « accès à l’interface utilisateur graphique (GUI) sur un système Windows cible. bureau. »
Les scripts PowerShell, observés dans l’environnement de production d’une deuxième organisation, ont facilité le mouvement latéral, permettant aux acteurs APT d’implanter des logiciels malveillants de chargeur contenant des exécutables qui incluent la possibilité de surveiller à distance le bureau d’un système, d’obtenir un accès inversé au shell, d’exfiltrer des données et de télécharger et exécuter les binaires de la prochaine étape.
De plus, le collectif contradictoire a exploité CVE-2022-22954, une vulnérabilité d’exécution de code à distance dans VMware Workspace ONE Access et Identity Manager qui a été révélée en avril 2022, pour implanter le shell Web Dingo J-spy.
L’activité continue liée à Log4Shell, même après plus de six mois, suggère que la faille est d’un grand intérêt pour les attaquants, y compris les acteurs des menaces persistantes avancées (APT) parrainés par l’État, qui ont ciblé de manière opportuniste des serveurs non corrigés pour prendre pied pour une activité de suivi. .
Selon la société de cybersécurité ExtraHop, les vulnérabilités de Log4j ont fait l’objet de tentatives d’analyse incessantes, les secteurs de la finance et de la santé devenant un marché démesuré pour les attaques potentielles.
« Log4j est là pour rester, nous verrons des attaquants l’exploiter encore et encore », a déclaré Randori, propriété d’IBM. a dit dans un rapport d’avril 2022. « Log4j enfoui profondément dans des couches et des couches de code tiers partagé, ce qui nous amène à la conclusion que nous verrons des instances de la vulnérabilité Log4j exploitées dans des services utilisés par des organisations qui utilisent beaucoup d’open source. »