[ 229,037 page views, 81,838 usuários - média últimos 90 dias ] - [ 5.767 assinantes na newsletter, taxa de abertura 27% ]

VMware alerta sobre ataques Log4J a servidores Horizon

A VMware está orientando os clientes a corrigirem suas instâncias do VMware Horizon, em razão desses sistemas terem sido alvo de uma onda recente de ataques que exploram a vulnerabilidade do Log4Shell.

Rastreada como CVE-2021-44228, a falha de segurança foi identificada no início de dezembro de 2021 no utilitário de registro Apache Log4J e desde então tem sido explorada em ataques por cibercriminosos e operadores de ameaças patrocinados por governos.

Logo após a descoberta da vulnerabilidade, a VMware confirmou que os produtos Horizon foram afetados e lançou patches, mas verificou que os clientes estão demorando a aplicar essas correções.

A empresa diz que, apesar de seus esforços, os invasores são bem-sucedidos em comprometer as organizações, visando produtos VMware Horizon que não foram corrigidos no Log4Shell.

“Os produtos VMware Horizon são vulneráveis ​​a falhas críticas do Apache Log4J/Log4Shell, a menos que sejam devidamente corrigidos ou mitigados usando as informações fornecidas em nosso comunicado de segurança (VMSA 2021-0028), que foi publicado pela primeira vez em 10 de dezembro de 2021 e atualizado regularmente com novas informações”, disse a VMware em um alerta.

“Os clientes que não aplicaram o patch ou a solução alternativa mais recente fornecida no alerta de segurança da VMware correm o risco de ser comprometidos — ou podem já ter sido comprometidos — por agentes de ameaças que estão aproveitando a vulnerabilidade Apache Log4shell para comprometer ativamente não corrigidos, voltados para a Internet. Ambientes Horizon”, continua a empresa.

“Embora os produtos SaaS sejam corrigidos imediatamente pela empresa que fornece o software, as organizações que usam produtos de software no local precisam aplicar as atualizações de segurança disponíveis por conta própria”, observa a VMware, em comunicado à SecurityWeek.

Veja isso
Ransomware criptografa VMware ESXi com script Python
VMware confirma exploração de brecha no vCenter Server

A empresa diz que entrou em contato direto com os clientes para orientá-los no processo de correção, mas algumas organizações ainda não corrigiram. A VMware incentiva esses clientes a implementar as atualizações de segurança o mais rápido possível, em resposta à exploração da vulnerabilidade do Log4j.

A BlackBerry também observou um aumento no número de ataques Log4J direcionados ao serviço Tomcat usado pelo VMware Horizon e diz que as organizações podem detectar com segurança um possível comprometimento “monitorando processos filho do processo pai ws_TomcatService.exe”.

Após o comprometimento inicial, os comandos do PowerShell são usados ​​para baixar uma carga útil de segundo estágio, que pode incluir malware de criptomineração, ransomware ou outras ferramentas maliciosas. Em alguns casos, um sinalizador Cobalt Strike foi implantado.

A BlackBerry acredita que os ataques foram conduzidos por um broker de acesso inicial (IAB) rastreado como Profeta Spider. Depois de comprometer as redes corporativas, o operador da ameaça geralmente vende acesso a operadores de ransomware.

“Quando um grupo de brokers de acesso inicial se interessa por uma vulnerabilidade cujo escopo pode nunca ser conhecido, isso nos dá uma boa indicação de que eles veem um valor significativo em sua exploração. É provável que continuemos a ver grupos criminosos explorando as oportunidades da vulnerabilidade Log4Shell em um futuro próximo, à medida que as equipes de TI e os usuários continuam lutando para resolver essas vulnerabilidades”, conclui a BlackBerry.