日前,英國國民保健署(NHS)警告稱,黑(hēi)客們正在大(dà)肆利用(yòng)VMware Horizon虛拟桌面平台中的(de)Log4Shell漏洞,以部署勒索軟件及其他(tā)惡意程序包。随後,微軟證實,一個名爲DEV-0401的(de)勒索軟件團夥在1月(yuè)4日就利用(yòng)了(le)VMware Horizon中的(de)漏洞(CVE-2021-44228)。微軟表示:“我們的(de)調查表明(míng),這些活動有些已成功入侵目标系統,并部署了(le)NightSky勒索軟件。”
微軟的(de)調查結果爲NHS的(de)早期警報提供了(le)新線索,NHS警告稱:“攻擊者肆意利用(yòng)VMware Horizon服務器中的(de)Log4Shell漏洞,企圖建立Web Shell。”攻擊者可(kě)以使用(yòng)這些Web Shell,部署惡意軟件和(hé)勒索軟件以及洩露數據。爲了(le)應對這起安全事件,NHS和(hé)VMware都敦促用(yòng)戶盡快(kuài)修補受影(yǐng)響的(de)系統,以及/或者實施安全公告中提到的(de)變通(tōng)辦法。
VMware發言人(rén)表示:“凡是連接到互聯網,但尚未針對Log4j漏洞打補丁的(de)服務都很容易受到黑(hēi)客攻擊,VMware強烈建議立即采取措施。”據了(le)解,在本月(yuè)早些時候安全研究組織MalwareHunterTeam發現,NightSky是一個比較新的(de)勒索軟件團夥,在去年年底開始活躍起來。
繼Log4Shell漏洞之後,安全研究人(rén)員警告類似的(de)漏洞可(kě)能很快(kuài)會出現。近日,JFrog安全團隊在H2數據庫中發現了(le)其中一個類似Log4j的(de)漏洞(CVE-2021-42392)。這個嚴重漏洞鑽了(le)與Log4j同樣的(de)空子,隻是不如Log4j那麽嚴重,目前官方尚未對其嚴重程度進行評分(fēn)。
據悉,H2是一款流行的(de)開源數據庫管理(lǐ)系統,用(yòng)Java編寫,它廣泛應用(yòng)于衆多(duō)平台,包括Spring Boot和(hé)ThingWorks。該系統可(kě)以嵌入到Java應用(yòng)程序中,或在客戶端-服務器模式下(xià)運行。據JFrog和(hé)飛塔的(de)FortiGuard Labs介紹,該系統提供了(le)一種輕量級内存中服務,不需要将數據存儲在磁盤上。
與Log4Shell相似,該漏洞可(kě)允許H2數據庫框架中的(de)幾條代碼路徑将未經過濾的(de)攻擊者控制的(de)URL傳遞給啓用(yòng)遠程代碼執行的(de)函數。然而,該漏洞“不如Log4Shell那麽嚴重,因爲受影(yǐng)響的(de)服務器應該更容易找到。”JFrog的(de)一位研究人(rén)員表示,它影(yǐng)響安裝了(le)H2控制台的(de)系統,但不影(yǐng)響那些在獨立模式下(xià)運行的(de)系統。
此外,默認情況下(xià),H2控制台僅偵聽localhost連接,因此默認安全。然而FortiGuard Labs 表示,攻擊者可(kě)以修改控制台以偵聽遠程連接,因而容易受到遠程代碼執行攻擊。H2團隊此後在新版本中修複了(le)該漏洞,并拟寫了(le)一份重要的(de)GitHub公告。研究團隊建議用(yòng)戶将H2數據庫升級到***版本,以降低風險。
研究人(rén)員特别指出,H2漏洞不會是最後一個與Log4Shell相似的(de)漏洞。Gartner研究副總裁Katell Thielemann同意這一觀點,稱“我擔心會有更多(duō)類似Log4j的(de)漏洞出現。這些組件無所不在,到處被重複使用(yòng),隻會使這個問題更複雜。”
參考鏈接:
https://www.sdxcentral.com/articles/news/ransomware-gangs-exploit-vmware-log4shell-vulnerability/2022/01/
參考閱讀:
深信服EDR成功攔截利用(yòng)Apache Log4j2漏洞Tellyouthepass 勒索