Los atacantes siguen apuntando a los servidores VMware Horizon a través de la vulnerabilidad Log4J, según varias empresas de ciberseguridad que monitorean la situación.
Hace dos semanas, el Servicio Nacional de Salud (NHS) del Reino Unido emitió una advertencia de que «grupos de amenazas desconocidos» estaban intentando explotar una vulnerabilidad Log4j (CVE-2021-44228) en los servidores VMware Horizon para crear malware y ransomware Web Shell listos para su distribución. robar información confidencial y completar otros ataques maliciosos.
Desde entonces, varias firmas de ciberseguridad han confirmado que los piratas informáticos continúan apuntando a los servidores VMware Horizon.en una oracion MarketingyPublicidad.esVMware dijo que continuarán instando a los clientes a aplicar la guía más reciente en su aviso de seguridad VMSA-2021-0028 para abordar las vulnerabilidades CVE-2021-44228 y CVE-2021-4504.
«También recomendamos que los clientes visiten nuestro documento de preguntas y respuestas correspondiente para obtener la información más reciente y se unan a la lista de correo del Boletín de seguridad de VMware para todos los avisos futuros. Vulnerable a la piratería, VMware recomienda encarecidamente la aplicación de parches», dijo un portavoz de VMware.
Rapid7 dijo que comenzó a monitorear un aumento repentino en las vulnerabilidades de VMware Horizon a partir del 14 de enero e identificó cinco rutas únicas que tomaron los atacantes después de la vulnerabilidad, lo que sugiere que múltiples actores estuvieron involucrados en la actividad de explotación masiva.
«La actividad más común es que un atacante ejecute PowerShell y descargue el software de minería de criptomonedas a un sistema utilizando el objeto integrado System.Net.WebClient», explicó Rapid7.
Huntress escribe en un blog sobre el tema y señala que, según Shodan, actualmente hay alrededor de 25 000 servidores Horizon en todo el mundo a los que se puede acceder a través de Internet.
Roger Koehler, vicepresidente de operaciones de amenazas en Huntress, dijo MarketingyPublicidad.es El artículo del NHS no abordó el alcance del problema.
“Según la cantidad de servidores Horizon en nuestro conjunto de datos que no tienen parches (solo el 18 % estaban parcheados hasta el viernes pasado por la noche), esta situación tiene una alta probabilidad de afectar gravemente a cientos de empresas, si no a las pocas miles de palabras en la empresa. Este fin de semana también marca la primera vez que vemos evidencia de una escalada generalizada, desde obtener acceso inicial hasta iniciar hostilidades contra los servidores de Horizon», dijo Koehler.
«A medida que vemos múltiples actividades potencialmente no relacionadas (mineros criptográficos, shells web, Cobalt Strike), es probable que esto continúe aumentando. Cuando VMware brinde orientación inicial, los atacantes harán que las empresas paguen por no parchear por completo. Si bien inicialmente «la actividad de shell web parece centrarse en el acceso a largo plazo, la actividad futura puede centrarse en atacar o afectar los sistemas accesibles a través de VMware Horizon». Esto permite que un atacante utilice este acceso para afectar a todos los hosts y servidores de virtualización. »
Koehler agregó que estos son objetivos de alto valor y, a pesar de las múltiples campañas generalizadas en su contra, las personas no están parcheando, y señaló que recientemente han sido testigos de que esto sucedió con ProxyShell y ProxyLogon. Koehler explicó que si bien estas vulnerabilidades no son tan significativas y de gran alcance como este último ataque cibernético, pueden demostrar que es probable que los atacantes vuelvan a atacar los sistemas que aún no han sido reparados.
Dijo que ProxyShell apareció unos meses después de que se revelara ProxyLogon, y que solo fue posible porque muchas personas no lo parchearon correctamente.
«El tiempo también es importante. Si pensamos en el gran incidente de Kaseya, eligieron el fin de semana festivo del 4 de julio. Las intrusiones generalizadas iniciales en el caparazón web ocurrieron durante las vacaciones de Navidad (fueron entre el 25 y el 29 de diciembre) eliminadas en entre), «Ahora que es otro fin de semana de tres días en los EE. UU., las cosas se están intensificando. ¿Se convertirá el control de daños en una tradición navideña para la gente de ciberseguridad? «, dijo Koehler.
«El ataque web shell entre el 25 y el 29 de diciembre fue más sofisticado en comparación con el ataque de Exchange. Parece que la mayoría de las herramientas antivirus no pudieron identificar ningún problema y aún no se han puesto al día. ¿Cuál es la moraleja de la historia? Es la misma vieja canción: parche, parche, parche».