آسیب‌پذیری Log4Shell در VMware از دسامبر 2021، زمانی که عمومی شد، یک مشکل عمومی بود. مرکز تخصصی همچنین لیست محصولات VMware که دارای این آسیب پذیری هستند را همزمان اعلام کرد. این مرکز همچنین هشدار جدی به سازمان ها برای رفع آسیب پذیری Log4Shell در VMware صادر کرد. اکنون پس از گذشت ماه ها از اعلام عمومی آسیب پذیری Log4Shell، شاهد واکنش سازمان هایی مانند ICSA و CGYBER USA هستیم. آژانس امنیت ملی ایالات متحده (CISA) و CGCYBER روز پنجشنبه با صدور بیانیه ای نسبت به افزایش حملات امنیتی با استفاده از اکسپلویت VMware Log4Shell برای آسیب پذیری ها هشدار دادند.

اکنون کمی در مورد Log4j توضیح می دهیم و سپس به آسیب پذیری Log4Shell در VMware نگاه می کنیم. نقص فنی Log4shell که با شماره مرجع CVE-2021-44228 شناسایی شد، امتیاز CVSS 10 را دریافت کرد. محققان امنیتی نتیجه کامل CVSS را به مشکل فنی Log4shell به دلیل استفاده گسترده از کتابخانه Apache Log4j نسبت دادند. زیرا از این کتابخانه در راه حل ها و محصولات بسیاری استفاده شده است. پس از اعلام عمومی این آسیب پذیری، مهاجمان به طور ناگهانی با یک سطح منحصر به فرد برای حمله مواجه شدند. این آسیب‌پذیری می‌تواند از راه دور مورد سوء استفاده قرار گیرد و بسیاری از سرویس‌ها، برنامه‌ها و محصولات مورد استفاده کسب‌وکارها از جمله محصولات VMware را تحت تأثیر قرار دهد. بهره برداری موفقیت آمیز از این آسیب پذیری به مهاجم اجازه می دهد تا دستورات را بر روی سیستم قربانی اجرا کند و کنترل سیستم را در دست بگیرد.

آسیب پذیری Log4Shell در VMware نیز ماه ها پیش اعلام شد، اما هنوز محصولات کشف نشده زیادی در سراسر جهان وجود دارد. بیایید به میزان بهره برداری از این آسیب پذیری در محصولات VMware نگاه کنیم.

طبق آمار دسامبر 2021، گروه های مختلف سرورهای VMware Horizon را که از طریق اینترنت (سرورهای عمومی) قابل دسترسی بودند، هک کردند. در این حملات، مهاجمان بدافزاری را نصب می‌کنند تا این سرورها را بارگذاری کنند و سپس از راه دور به این سرورها دسترسی پیدا کنند. آژانس امنیت ملی آمریکا اطلاعاتی را از دو مرکز برای واکنش به حوادثی که مورد حمله قرار گرفته اند جمع آوری کرده است. بر اساس این اطلاعات، مهاجمان پس از ورود به سیستم، هزینه های سربار آلوده را از این سرورها دریافت می کنند. این هزینه های سربار شامل اسکریپت های PowerShell و یک ابزار دسترسی از راه دور به نام “hmsvc.exe” است. این ابزار قابلیت ثبت ضربه های کلید را دارد و می تواند بدافزارهای بیشتری را روی سیستم های آلوده نصب کند. بدافزار نصب شده می تواند به عنوان یک پروکسی تونل زنی C2 عمل کند و به مهاجم از راه دور اجازه می دهد روی سیستم های دیگر بچرخد و در شبکه حرکت کند. جالب است بدانید که مهاجمان حتی توانایی داشتن رابط گرافیکی گرافیکی در سیستم های ویندوز شبکه هدف خود را دارند.

اسکریپت Power Shell مورد استفاده در حمله به یکی از این مراکز به مهاجمان کمک می کند تا پس از نفوذ به شبکه حرکت کنند. این اسکریپت به مهاجمان اجازه می دهد تا بدافزارهایی را که حاوی فایل های اجرایی هستند بارگذاری کنند. پس از این مرحله، مهاجمان می‌توانستند سیستم‌ها را از راه دور کنترل کنند و سپس دوباره به پوسته دسترسی پیدا کردند. در نهایت، داده ها را استخراج کنید و فایل های اجرایی بیشتری را برای اهداف مخرب بارگذاری کنید!

آژانس امنیت ملی ایالات متحده یک نقص فنی دیگر را در حملات مربوط به آسیب پذیری Log4Shell در VMware مطرح کرده است. دومین مشکل فنی با شماره مرجع CVE-2022022954 یک آسیب پذیری اجرای کد از راه دور است که در VMware Workspace ONE Access and Identity Manager وجود دارد. این نقص فنی در آوریل 2022 به طور عمومی اعلام شد و همانطور که می بینید توسط مهاجمان در حملات مورد سوء استفاده قرار گرفت.

توجه داشته باشید که بیش از شش ماه از اعلام آسیب پذیری Log4Shell در VMware می گذرد. اما ما هنوز محصولات بدون پوشش و آسیب پذیر زیادی داریم. محصولات و راه حل هایی که گاهی به صورت آنلاین در دسترس هستند. با نگاهی به اطلاعات جمع آوری شده در مورد این حملات، به این نتیجه می رسیم که حملات APT (تهدیدهای پایدار پیشرفته) که توسط دولت نیز پشتیبانی می شوند، از آسیب پذیری Log4Shell در VMware سوء استفاده کرده اند. شرکت امنیتی ExtraHop می‌گوید مهاجمان همچنان سازمان‌ها را برای آسیب‌پذیری Log4j اسکن می‌کنند. بسیاری از این اسکن ها در زمینه های مالی و همچنین مراقبت های بهداشتی انجام شده است.

این مقاله را با نقل قولی از راندوری از IBM به پایان می بریم. آقای راندوری در آوریل 2022 گفت: “Log4j آمد تا بماند و بارها و بارها توسط مهاجمان استفاده خواهد شد.” به گفته راندوری، کتابخانه Log4j در لایه‌ها و کدهای شخص ثالث استفاده می‌شود. بنابراین سال‌ها شاهد نفوذ مهاجمان به سازمان‌ها از طریق Log4shell خواهیم بود.

نظر شما در مورد مدیریت آسیب پذیری و نصب خودکار وصله های امنیتی چیست؟

با راه حل GFI LanGuard طیف گسترده ای از قابلیت ها را به سازمان خود بیاورید، از جمله اسکن شبکه، شناسایی و تصحیح آسیب پذیری های شبکه، مدیریت رفع مشکلات امنیتی، اسکن دروازه شبکه و ارزیابی آسیب پذیری های پایگاه داده.