Log4J: Penyerang terus menargetkan server VMware Horizon
Security

Log4J: Penyerang terus menargetkan server VMware Horizon

Menurut beberapa perusahaan keamanan siber yang memantau situasi, penyerang masih menargetkan server VMware Horizon melalui kerentanan Log4J.

Dua minggu lalu, National Health Service (NHS) Inggris mengeluarkan peringatan bahwa ‘kelompok ancaman tidak dikenal’ mencoba mengeksploitasi kerentanan Log4j (CVE-2021-44228) di server VMware Horizon untuk membuat web shell yang dapat digunakan untuk mendistribusikan malware dan ransomware, mencuri informasi sensitif, dan menyelesaikan serangan berbahaya lainnya.

Sejak itu, beberapa perusahaan keamanan siber telah mengkonfirmasi bahwa peretas terus menargetkan server VMware Horizon. Dalam sebuah pernyataan kepada ZDNet, VMware mengatakan mereka terus mendesak pelanggan untuk menerapkan panduan terbaru yang ditemukan dalam penasihat keamanan mereka, VMSA-2021-0028, untuk mengatasi kerentanan CVE-2021-44228 dan CVE-2021-4504.

“Kami juga menyarankan agar pelanggan mengunjungi dokumen Pertanyaan & Jawaban kami yang sesuai untuk informasi terbaru dan bergabung dengan milis VMware Security-Announce untuk semua saran di masa mendatang. Layanan apa pun yang terhubung ke internet dan belum ditambal untuk kerentanan Log4j CVE-2021-44228 dan CVE-2021-4504 rentan terhadap peretas, dan VMware sangat merekomendasikan patching,” kata juru bicara VMware.

Rapid7 mengatakan mulai memantau peningkatan mendadak dalam eksploitasi VMware Horizon pada 14 Januari dan mengidentifikasi lima jalan unik yang telah diambil penyerang pasca-eksploitasi, menandakan bahwa banyak aktor terlibat dalam aktivitas eksploitasi massal ini.

“Aktivitas paling umum melihat penyerang mengeksekusi PowerShell dan menggunakan objek System.Net.WebClient bawaan untuk mengunduh perangkat lunak penambangan cryptocurrency ke sistem,” jelas Rapid7.

Huntress merilis blognya sendiri tentang masalah ini, mencatat bahwa menurut Shodan, sekitar 25.000 server Horizon saat ini dapat diakses internet di seluruh dunia.

Roger Koehler, wakil presiden operasi ancaman di Huntress, mengatakan kepada ZDNet artikel NHS tidak memberikan gambaran tentang ruang lingkup masalahnya.

“Berdasarkan berapa banyak server Horizon dalam kumpulan data kami yang tidak ditambal (hanya 18% yang ditambal pada Jumat malam lalu), ada risiko tinggi dari hal ini yang berdampak serius pada ratusan-bahkan ribuan bisnis. Akhir pekan ini juga menandai pertama kalinya kami melihat bukti eskalasi yang meluas, mulai dari mendapatkan akses awal hingga mulai mengambil tindakan bermusuhan di server Horizon,” kata Koehler.

“Karena kami melihat beberapa kemungkinan kampanye yang tidak terkait (cryptominers, web shell, Cobalt Strike), kemungkinan ini akan terus meningkat. Penyerang akan membuat bisnis membayar untuk tidak sepenuhnya menambal ketika VMware memberikan panduan awal mereka. Meskipun awal kampanye shell web tampaknya berfokus pada akses jangka panjang, kemungkinan aktivitas di masa depan akan fokus pada penargetan atau memengaruhi sistem yang dapat diakses melalui VMware Horizon. Dan masuk akal bahwa penyerang dapat menggunakan akses ini untuk memengaruhi semua host dan server tervirtualisasi.”

Koehler menambahkan bahwa ini adalah target bernilai tinggi, dan orang-orang tidak menambal meskipun ada banyak kampanye luas yang menargetkan mereka, mencatat bahwa mereka baru-baru ini menyaksikan ini terjadi dengan ProxyShell dan ProxyLogon. Meskipun ini tidak terlalu signifikan dan jangkauannya jauh seperti serangan cyber terbaru ini, kerentanan ini berfungsi sebagai bukti bahwa penyerang kemungkinan akan kembali menargetkan sistem yang belum ditambal, Koehler menjelaskan.

Dia mengatakan ProxyShell muncul beberapa bulan setelah ProxyLogon diungkapkan, dan itu dimungkinkan hanya karena banyak yang gagal untuk ditambal dengan benar.

“Waktunya juga penting. Jika kita mengingat kembali insiden besar Kaseya, mereka memilih liburan akhir pekan 4 Juli. Intrusi asli yang meluas dengan cangkang web terjadi selama liburan Natal (mereka dijatuhkan antara 25 Desember dan 29 Desember), dan hal-hal meningkat sekarang karena akhir pekan tiga hari lagi di AS. Apakah pengendalian kerusakan akan menjadi tradisi liburan bagi mereka yang berada di keamanan siber?” kata Kohler.

“Serangan web shell antara 25 dan 29 Desember lebih canggih dibandingkan dengan sesuatu seperti serangan Exchange. Sepertinya sebagian besar alat antivirus gagal mengidentifikasi bahwa ada sesuatu yang salah dan masih belum berhasil. Moral dari cerita ini? Itu lagu lama yang sama: tambalan, tambalan, tambalan.”

Posted By : togel hari ini hongkong