هشدار در خصوص ادامه بهرهجویی از Log4Shell
به تازگی مرکز CISA ایالت متحده در گزارشی هشدار داده که مهاجمان همچنان در حال بهرهجویی از آسیبپذیری Log4Shell در محصولات VMware Horizon و VMware Unified Access Gateway – به اختصار UAG – میباشند.
در این گزارش که با همکاری شرکت مهندسی شبکه گستر و مرکز مدیریت راهبردی افتای ریاست جمهوری تهیه گردیده، گزارش مذکور مورد بررسی قرار گرفته است.
Log4Shell یا LogJam آسیبپذیری است که در کتابخانه Log4j در اواخر پاییز سال گذشته کشف شد و دارای شناسه CVE-2021-44228 میباشد. بهرهجویی گسترده از ضعف امنیتی مذکور، پس از انتشار یک نمونه اثباتگر (Proof-of-Concept – به اختصار PoC) از حدود ۱۸ آذر 1400 آغاز شد.
این آسیبپذیری، امکان اجرای کد از راه دور (Remote Code Execution – به اختصار RCE) را برای مهاجمان فراهم میکند و سوءاستفاده از آن نیازی به تخصص فنی بالا و احراز هویت ندارد. مهاجمان میتوانند با بهرهجویی از Log4Shell بصورت از راه دور کنترل سرورهای آسیبپذیر را دراختیار گرفته و در ادامه اقدام به انجام انواع امور مخرب نظیر گسترش آلودگی در سطح شبکه نمایند.
بر اساس گزارش اخیر CISA، مهاجمان در حال بهرهجویی از Log4Shell برای نفوذ به محصولات آسیبپذیر VMware و در ادامه رخنه به شبکه سازمانها میباشند.
این مهاجمان پس از نفوذ به شبکه، اقدام به استقرار انواع مختلفی از بدافزارها نموده و در مواردی صدها گیگابایت اطلاعات حساس قربانیان را سرقت میکنند. برخی از این بدافزارها امکان برقراری ارتباط با سرورهای کنترل و فرماندهی (Command and Control – به اختصار C2) را برای مهاجمان فراهم میکنند.
اکیداً به راهبران سرورهای VMware توصیه میشود تا نسبت به اعمال بروزرسانیهای مرتبط با ضعفامنیتی CVE-2021-44228 اطمینان حاصل کنند. همچنین ضروری است راهبران امنیتی در اسرع وقت سیستمهای بالقوه هک شده را از شبکه جدا کرده و لاگها و سوابق مربوطه را جمعآوری و بررسی نمایند.
مشروح توصیهنامه امنیتی CISA در نشانی زیر قابل مطالعه میباشد:
https://www.cisa.gov/uscert/ncas/alerts/aa22-174a
منبع:
