[English]Die US Cybersecurity & Infrastruktur Agency (CISA) hat zum 24. Juni 2022 eine deutliche Warnung ausgesprochen, dass die im Dezember 2021 bekannt gewordene Log4Shell-Schwachstelle gezielt von Gruppen genutzt wird, um ungepatchte VMware Horizon-Systeme anzugreifen. In einem bestätigten Fall einer Kompromittierung waren diese APT-Akteure in der Lage, sich seitlich im Netzwerk zu bewegen, Zugang zu einem Disaster Recovery-Netzwerk zu verschaffen und sensible Daten zu sammeln und zu exfiltrieren.
Anzeige
Die Log4Shell-Schwachstelle
Im Dezember 2021 wurde eine kritische Schwachstelle (Log4Shell) in der zum Logging benutzen Java Bibliothek log4j öffentlich bekannt. Diese Software ist in vielen anderen Produkten integriert. Tausende Dienste von Apple, Amazon, Twitter, Minecraft etc. sind über diese Schwachstelle anfällig. Ich hatte ja Anfang Dezember 2021 im Artikel 0-day CVE-2021-44228 in Java log4j-Bibliothek tangiert zahlreiche Anbieter über eine kritische Schwachstelle in der JNDI-Lookup-Funktion der zum Logging benutzen Java Bibliothek log4j berichtet. Der Hersteller VMware ist mit seinen Produkten von der Log4Shell-Schwachstelle betroffen (siehe auch Angriffe auf VMWare Horizon-Server mit log4j-Schwachstelle).
Die CISA-Warnung
Im Alert AA22-174A warnt die CISA, dass Cyber-Bedrohungsakteure, einschließlich staatlich gesponserter APT-Akteure (Advanced Persistent Threats), weiterhin CVE-2021-44228 (Log4Shell) in VMware Horizon®- und Unified Access Gateway (UAG)-Servern ausnutzen, um sich einen Zugang zu Systemen zu verschaffen, die keine verfügbaren Patches oder Workarounds angewendet haben.
Seit Dezember 2021 haben mehrere Gruppen von Bedrohungsakteuren Log4Shell auf ungepatchten, öffentlich zugänglichen VMware Horizon- und UAG-Servern ausgenutzt. Als Teil dieser Ausnutzung implantierten mutmaßliche APT-Akteure Loader-Malware mit eingebetteten ausführbaren Dateien auf kompromittierten Systemen, die eine Remote-Befehls- und Kontrollfunktion (C2) ermöglichen. Bei einer bestätigten Kompromittierung konnten sich diese APT-Akteure seitlich in das Netzwerk bewegen, sich Zugang zu einem Disaster-Recovery-Netzwerk verschaffen und sensible Daten sammeln und exfiltrieren.
Die CISA fordert Administratoren auf, alle betroffenen VMware Horizon- und UAG-Systeme auf die neuesten Versionen zu aktualisieren. Wurden nach der Veröffentlichung von Updates für Log4Shell durch VMware im Dezember 2021 nicht umgehend Updates oder Umgehungslösungen angewendet, sind alle betroffenen VMware-Systeme als gefährdet zu behandeln. Die CISA hat in Alert AA22-174A Details zu den Indicatoren of Compromise (IoCs) sowie weitere Details veröffentlicht.
Ähnliche Artikel:
log4j FAQ und Repository
0-day CVE-2021-44228 in Java log4j-Bibliothek tangiert zahlreiche Anbieter
Gegenmittel für 0-day CVE-2021-44228 in Java log4j-Bibliothek
log4j-Schwachstelle CVE-2021-44228: Minecraft dringend patchen
VMware-Produkte durch log4j-Schwachstelle CVE-2021-44228 bedroht
Log4j-News: New Schwachstelle, Bundesfinanzhof-Webseite down, viele Firmen ungepatcht
Log4j-Sicherheits-Meldungen (28.12.2021)
Windows Defender: Fixes, Probleme und Log4j-Scanner-Fehlalarme
RCE-Schwachstelle – ähnlich wie log4j – in H2 (Java) Datenbanksystem entdeckt
Angriffe auf VMWare Horizon-Server mit log4j-Schwachstelle
Log4j in Embedded-Geräten (Connected Cars, Ladestationen etc.)
Log4Shell: Eine Bestandsaufnahme (Feb.2022)
Deep Panda: Zielt über Log4Shell auf VMware Horizon Server
2015
