Angriffe auf VMWare Horizon-Server mit log4j-Schwachstelle

Sicherheit (Pexels, allgemeine Nutzung)[English]So langsam werden die Folgen der Ende 2021 in der JAVA-Bibliothek log4j entdeckten Schwachstelle sichtbar. Die IT-Spezialisten des britischen Gesundheitswesens (NHS) beobachten, dass eine unbekannte Bedrohungsgruppe gezielt auf VMWare Horizon-Server mit der Log4Shell-Schwachstelle zugreift, um Web-Shells für zukünftige Angriffe zu installieren.


Anzeige

Ich hatte ja Anfang Dezember 2021 im Artikel 0-day CVE-2021-44228 in Java log4j-Bibliothek tangiert zahlreiche Anbieter über eine kritische Schwachstelle in der JNDI-Lookup-Funktion der zum Logging benutzen Java Bibliothek log4j berichtet. Diese Software ist in vielen anderen Produkten integriert. Tausende Dienste von Apple, Amazon, Twitter, Minecraft etc. sind über diese Schwachstelle anfällig. Und es wurden zeitnah erste Angriffe auf Honeypots beobachtet.

Bisher war aber nicht klar, ob das der "big bang" der IT zum Ende des Jahres 2021 werden könnte. Zwar wurden Angriffe auf Mindcraft-Server gesichtet, und auch den Bundesfinanzhof sowie das belgische Verteidigungsministerium hat es getroffen (siehe Links am Artikelende). Aber die richtig große Welle an Hacks blieb bisher aus.

Britische NHS beobachtet Angriffe

Nun schlägt die IT des britischen Gesundheitswesens (National Health Service, NHS) bzw. deren Sicherheitsteam Alarm. Das Sicherheitsteam des britischen NHS beobachte, dass eine unbekannte Bedrohungsgruppe VMWare Horizon-Server mit der Log4Shell-Schwachstelle angreift, um Web-Shells für zukünftige Angriffe zu installieren. beobachten. Darauf weist Catalin Cimpanu in folgendem Tweet hin.

NHS sees attacks on VMWare Horizon servers with the Log4Shell vulnerability

Die Warnmeldung des NHS ist hier abrufbar. Die IT-Spezialisten gehen davon aus, dass sich der Angriff wahrscheinlich noch in einer Erkundungsphase befindet, in der der Angreifer das Java Naming and Directory InterfaceTM (JNDI) über Log4Shell-Payloads verwendet, um seine bösartige Infrastruktur aufzurufen.

Sobald eine Schwachstelle im Zielsystem identifiziert wurde, verwendet der Angriff das Lightweight Directory Access Protocol (LDAP), um eine bösartige Java-Klassendatei abzurufen und auszuführen, die eine Web-Shell in den VM Blast Secure Gateway-Dienst des VMWare Horizon Servers injiziert. Die Web-Shell kann dann von einem Angreifer verwendet werden, um eine Reihe bösartiger Aktivitäten auszuführen, wie z. B. die Bereitstellung zusätzlicher bösartiger Software, die Datenexfiltration oder die Bereitstellung von Ransomware.

Die Sicherheitsleute dokumentieren diese Angriffe in ihrer Warnmeldung und schreiben, dass der Defender diese Angriffe mit VMBlastSG erkennt. Die Leute geben auch PowerShell-Befehle an, um modifizierte Dateien der Angreifer zu entdecken. Betroffene Unternehmen sollten den Abschnitt zu VMware Horizon im VMware-Sicherheitshinweis VMSA-2021-0028 lesen und die entsprechenden Updates oder Abhilfemaßnahmen sofort anwenden oder anschließend den NHS Digital High Severity Cyber Alert CC-3995 lesen.

Ähnliche Artikel:
0-day CVE-2021-44228 in Java log4j-Bibliothek tangiert zahlreiche Anbieter
Gegenmittel für 0-day CVE-2021-44228 in Java log4j-Bibliothek
log4j-Schwachstelle CVE-2021-44228: Minecraft dringend patchen
VMware-Produkte durch log4j-Schwachstelle CVE-2021-44228 bedroht
log4j FAQ und Repository
Log4j-News: New Schwachstelle, Bundesfinanzhof-Webseite down, viele Firmen ungepatcht
Log4j-Sicherheits-Meldungen (28.12.2021)
Windows Defender: Fixes, Probleme und Log4j-Scanner-Fehlalarme
RCE-Schwachstelle – ähnlich wie log4j – in H2 (Java) Datenbanksystem entdeckt


Anzeige


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit abgelegt und mit Sicherheit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.