多个勒索软件团伙利用VMware的Log4Shell漏洞
作者: 日期:2022年01月19日 阅:7,925

日前,英国国民保健署(NHS)警告称,黑客们正在大肆利用VMware Horizon虚拟桌面平台中的Log4Shell漏洞,以部署勒索软件及其他恶意程序包。随后,微软证实,一个名为DEV-0401的勒索软件团伙在1月4日就利用了VMware Horizon中的漏洞(CVE-2021-44228)。微软表示:“我们的调查表明,这些活动有些已成功入侵目标系统,并部署了NightSky勒索软件。”

微软的调查结果为NHS的早期警报提供了新线索,NHS警告称:“攻击者肆意利用VMware Horizon服务器中的Log4Shell漏洞,企图建立Web Shell。”攻击者可以使用这些Web Shell,部署恶意软件和勒索软件以及泄露数据。为了应对这起安全事件,NHS和VMware都敦促用户尽快修补受影响的系统,以及/或者实施安全公告中提到的变通办法。

VMware发言人表示:“凡是连接到互联网,但尚未针对Log4j漏洞打补丁的服务都很容易受到黑客攻击,VMware强烈建议立即采取措施。”据了解,在本月早些时候安全研究组织MalwareHunterTeam发现,NightSky是一个比较新的勒索软件团伙,在去年年底开始活跃起来。

继Log4Shell漏洞之后,安全研究人员警告类似的漏洞可能很快会出现。近日,JFrog安全团队在H2数据库中发现了其中一个类似Log4j的漏洞(CVE-2021-42392)。这个严重漏洞钻了与Log4j同样的空子,只是不如Log4j那么严重,目前官方尚未对其严重程度进行评分。

据悉,H2是一款流行的开源数据库管理系统,用Java编写,它广泛应用于众多平台,包括Spring Boot和ThingWorks。该系统可以嵌入到Java应用程序中,或在客户端-服务器模式下运行。据JFrog和飞塔的FortiGuard Labs介绍,该系统提供了一种轻量级内存中服务,不需要将数据存储在磁盘上。

与Log4Shell相似,该漏洞可允许H2数据库框架中的几条代码路径将未经过滤的攻击者控制的URL传递给启用远程代码执行的函数。然而,该漏洞“不如Log4Shell那么严重,因为受影响的服务器应该更容易找到。”JFrog的一位研究人员表示,它影响安装了H2控制台的系统,但不影响那些在独立模式下运行的系统。

此外,默认情况下,H2控制台仅侦听localhost连接,因此默认安全。然而FortiGuard Labs 表示,攻击者可以修改控制台以侦听远程连接,因而容易受到远程代码执行攻击。H2团队此后在新版本中修复了该漏洞,并拟写了一份重要的GitHub公告。研究团队建议用户将H2数据库升级到最新版本,以降低风险。

研究人员特别指出,H2漏洞不会是最后一个与Log4Shell相似的漏洞。Gartner研究副总裁Katell Thielemann同意这一观点,称“我担心会有更多类似Log4j的漏洞出现。这些组件无所不在,到处被重复使用,只会使这个问题更复杂。”

参考链接:

https://www.sdxcentral.com/articles/news/ransomware-gangs-exploit-vmware-log4shell-vulnerability/2022/01/


相关文章