El equipo de seguridad digital del Servicio Nacional de Salud (NHS) del Reino Unido ha dado la voz de alarma sobre la explotación activa de las vulnerabilidades de Log4Shell en los servidores VMware Horizon no protegidos, por parte de un atacante desconocido, para lanzar shells web maliciosos y establecer persistencia en las redes afectadas para ataques posteriores.
"El ataque consiste probablemente en una fase de reconocimiento, en la que el atacante utiliza el Java Naming and Directory InterfaceTM (JNDI) a través de las cargas útiles de Log4Shell para llamar a la infraestructura maliciosa", dijo el organismo público no departamental en una alerta. "Una vez que se ha identificado una debilidad, el ataque utiliza entonces el Protocolo Ligero de Acceso a Directorios (LDAP) para recuperar y ejecutar un archivo de clase Java malicioso que inyecta un shell web en el servicio VM Blast Secure Gateway".
El web shell, una vez desplegado, puede servir como conducto para llevar a cabo una multitud de actividades posteriores a la explotación, como el despliegue de software malicioso adicional, la exfiltración de datos o el despliegue de ransomware. Las versiones 7.x y 8.x de VMware Horizon son vulnerables a las vulnerabilidades de Log4j.
Log4Shell es un exploit para CVE-2021-44228 (puntuación CVSS: 10,0), un fallo crítico de ejecución remota de código en Apache Log4j 2, un marco de registro de código abierto omnipresente, que se ha utilizado como parte de diferentes campañas de malware desde que salió a la luz en diciembre de 2021. Una serie de grupos de piratas informáticos, que van desde actores estatales hasta bandas de ransomware, se han abalanzado sobre la vulnerabilidad hasta la fecha.
Esta es la segunda vez que los productos de VMware son explotados como resultado de las vulnerabilidades de la biblioteca Log4j. El mes pasado, los investigadores de AdvIntel revelaron que los atacantes se dirigían a sistemas que ejecutaban servidores VMware VCenter con el objetivo de instalar el ransomware Conti.
VMware, por su parte, ya ha publicado el mes pasado actualizaciones de seguridad para Horizon, VCenter y otros productos que se han visto afectados por Log4Shell, y el proveedor de servicios de virtualización ha reconocido los intentos de escaneo en la red, instando a los clientes a instalar los parches en su caso o aplicar soluciones temporales para contrarrestar cualquier riesgo potencial.
Fuente: https://thehackernews.com/2022/01/nhs-warns-of-hackers-targeting-log4j.html