美国政府:伊朗黑客利用Log4Shell 漏洞攻陷联邦机构
美国政府:伊朗黑客利用Log4Shell 漏洞攻陷联邦机构
Sergiu Gatlan 代码卫士 2022-11-17 18:21
聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
美国FBI和CISA发布联合公告指出,未具名伊朗威胁组织入侵了联邦民事行政部门 (FCEB) 所属一家组织机构并部署了XMRig 挖矿恶意软件。
攻击者利用远程代码执行漏洞Log4Shell (CVE-2021-44228) 的exploit 入侵了一台未修复的VMware Horizon 服务器。部署密币挖矿机后,伊朗威胁组织还在受陷服务器上设置了反向代理,在FCEB的网络中维持可持久性。
联合公告指出,“在事件响应活动过程中,CISA认为威胁组织利用了未修复VMware Horizon 服务器中的Log4Shell 漏洞,安装了XMRig密币挖掘软件,横向移动到域控制器 (DC),攻陷凭据,之后在多个主机上植入Ngrok反向代理以维持持久性。”
FBI和CISA还提到,所有尚未修复VMware系统中Log4Shell 漏洞的组织机构应当假设自己已遭攻陷,并建议这些机构在网络中查找恶意活动。CISA在6月份提醒成,VMware Horizon 和 UAC服务器仍受多个威胁组织侵扰,其中不乏受国家支持的黑客组织。Log4Shell 可被远程用于攻击暴露到本地或互联网访问权限的易受攻击服务器,在受陷网络中横向移动,访问存储着敏感数据的内部系统。
国家黑客组织正在利用Log4Shell
在2021年12月发布后,Log4Shell 漏洞几乎立即遭到威胁组织的扫描和利用,其中包括国家黑客组织。
CISA当时也提醒使用易受攻击VMware服务器的组织机构假设自己已遭攻陷并启动威胁捕猎活动。VMware还在1月份督促客户尽快保护VMware Horizon 服务器免遭Log4Shell 攻击。
CISA和FBI在报告中强烈建议组织机构采取缓解和防护措施,包括:
-
将受影响VMware Horizon 和 UAG系统更新至最新版本
-
将组织机构面向互联网的攻击面最小化
-
演练、测试和验证所在组织机构安全计划针对映射到企业框架的MITRE ATT&CK 的威胁行为的情况。
-
测试所在组织机构现有安全控制对公告中提到的ATT&CK技术的效果。
代码卫士试用地址:
https://codesafe.qianxin.com
开源卫士试用地址:
https://oss.qianxin.com
推荐阅读
速修复!Apache Commons Text 存在严重漏洞,堪比Log4Shell
奇安信发布《2022中国软件供应链安全分析报告》 谁会成为下一个Log4j2?
微软:攻击者利用SolarWinds Serv-U 0day发动 Log4j 攻击
原文链接
https://www.bleepingcomputer.com/news/security/us-govt-iranian-hackers-breached-federal-agency-using-log4shell-exploit/
题图:
Pexels License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “
在看
” 或 “
赞
” 吧~