Un nuevo estudio de Sophos revela cómo los atacantes utilizan Log4Shell para proporcionar puertas traseras y scripts de creación de perfiles a servidores VMware Horizon sin parches.
El nuevo informe revela que con el uso de esta vulnerabilidad los atacantes crearon tres puertas traseras diferentes y cuatro criptomineros, que posteriormente son ofrecidas a ciberdelincuentes para su acceso a los servidores.
Log4Shell es una vulnerabilidad de ejecución remota de código en Apache Log4J, uno de los componentes de registro de Java. Este componente está integrado en cientos de productos de software. Su último parche de seguridad se realizó en diciembre de 2021.
“Las aplicaciones ampliamente utilizadas, como VMware Horizon, que están expuestas a Internet y deben actualizarse manualmente, son particularmente vulnerables a los ataques a gran escala”, dijo Sean Gallagher, investigador principal de seguridad de Sophos. “Las detecciones de Sophos revelan oleadas de ataques dirigidos a servidores Horizon, a partir de enero, y entregan una variedad de puertas traseras y criptomineros a servidores sin parches, así como scripts para recopilar información del dispositivo”.
Cómo trabaja Log4Shell
“Los hallazgos de Sophos sugieren que múltiples adversarios están implementando estos ataques, por lo que el paso de protección más importante es actualizar todos los dispositivos y aplicaciones que incluyen Log4J con la versión parcheada del software”, dijo Gallagher.
“Sophos cree que algunas de las puertas traseras pueden ser proporcionadas por agentes maliciosos que buscan asegurar el acceso remoto a un objetivo de alto valor para luego venderlo a otros atacantes, como los operadores de ransomware”, añade.
Las múltiples cargas útiles de ataque que Sophos detectó usando Log4Shell para apuntar a servidores Horizon vulnerables incluyen:
- Dos herramientas legítimas de administración y monitoreo remoto: Atera agent y Splashtop Streamer, probablemente destinadas para uso malicioso como creación de puertas traseras.
- La puerta trasera maliciosa Sliver.
- Los criptomineros z0Miner, JavaX miner, Jin y Mimu.
- Varios shells inversos basados en PowerShell que recopilan información de dispositivos y copias de seguridad.
Según Sophos, los atacantes están utilizando varios enfoques diferentes para infectar objetivos. Si bien algunos de los ataques anteriores utilizaron Cobalt Strike para organizar y ejecutar las cargas útiles del criptominero, la mayor ola de ataques que comenzó a mediados de enero de 2022 ejecutó esta herramienta directamente desde el componente Apache Tomcat del servidor VMware Horizon. Esta ola de ataques continúa.
“Log4J está instalado en cientos de productos de software y es posible que muchas organizaciones desconocen la vulnerabilidad que acecha dentro de su infraestructura, particularmente en software comercial, de código abierto o personalizado que no cuenta con soporte de seguridad regular. Y aunque la aplicación de parches es vital, no será suficiente si los atacantes ya han podido instalar una puerta trasera en la red”, concluye.