in

Los piratas informáticos explotan Log4Shell para infectar servidores VMware Horizon

04X0a31B5Q7ULLzOKrl0CaY 1.fit lim.size 1200x630.v1642379037

Huntress informa que los atacantes comenzaron a explotar las vulnerabilidades de Log4Shell reveladas en diciembre de 2021 en servidores que ejecutan VMware Horizon para implementar Cobalt Strike.

Log4Shell se refiere a varias vulnerabilidades de alta gravedad en el paquete Log4j utilizado por innumerables desarrolladores de Java para crear registros para sus aplicaciones. VMware describe a Horizon como una herramienta que ofrece «entrega eficiente y segura de aplicaciones y escritorios virtuales desde las instalaciones hasta la nube».

Mientras tanto, Cobalt Strike es un marco de comando y control que los profesionales de la seguridad utilizan para evaluar la capacidad de una organización para responder a actividades maliciosas en su red. (Entre otras cosas). Pero los piratas informáticos a menudo también usan versiones descifradas del software para realizar ataques.

Huntress dice que «una detección de Managed Antivirus no relacionada (Microsoft Defender) indicó a nuestro equipo ThreatOps una nueva explotación de la vulnerabilidad Log4Shell en VMware Horizon» el 14 de enero. Otros, incluidos El informe DFIR y canario rojo, reportó actividad similar ese día.

Explotar las vulnerabilidades de Log4Shell para implementar Cobalt Strike tiene sentido. El primero puede ofrecer a los atacantes acceso inicial a una red; este último puede ayudarlos a mantener ese acceso para que puedan recopilar más información, comprometer máquinas adicionales y potencialmente evadir la detección.

«Para aquellos de ustedes que recién están aprendiendo sobre la explotación masiva de los servidores VMware Horizon y la instalación de shells web de puerta trasera», dice Huntress, «deberían considerar seriamente la posibilidad de que su servidor se vea comprometido si no tiene parches y está conectado a Internet».

Recomendado por Nuestros Editores

Mucha gente tendrá algunas reflexiones que hacer. Huntress dice «que ~34% de los 180 servidores Horizon (62) que analizamos no tenían parches y estaban conectados a Internet en el momento de esta publicación». También señala que la herramienta de búsqueda de Shodan enumera aproximadamente 25,000 servidores Horizon orientados a Internet.

VMware ha aconsejado a los usuarios de Horizon que actualicen a nuevas versiones del software con parches para las vulnerabilidades de Log4Shell. Huntress dice que las empresas con servidores que ya se han visto comprometidos deben restaurar sus sistemas a partir de una copia de seguridad creada antes del 25 de diciembre de 2021.

¿Te gusta lo que estás leyendo?

Matricularse en Vigilancia de seguridad boletín de noticias para nuestras principales historias de privacidad y seguridad directamente en su bandeja de entrada.

Este boletín puede contener publicidad, ofertas o enlaces de afiliados. Suscribirse a un boletín informativo indica su consentimiento a nuestros Términos de uso y Política de privacidad. Puede darse de baja de los boletines en cualquier momento.

function facebookPixelScript() { if (!facebookPixelLoaded) { facebookPixelLoaded = true; document.removeEventListener('scroll', facebookPixelScript); document.removeEventListener('mousemove', facebookPixelScript);

!function(f,b,e,v,n,t,s){if(f.fbq)return;n=f.fbq=function(){n.callMethod? n.callMethod.apply(n,arguments):n.queue.push(arguments)};if(!f._fbq)f._fbq=n; n.push=n;n.loaded=!0;n.version='2.0';n.queue=[];t=b.createElement(e);t.async=!0; t.src=v;s=b.getElementsByTagName(e)[0];s.parentNode.insertBefore(t,s)}(window, document,'script','//connect.facebook.net/en_US/fbevents.js');

fbq('init', '454758778052139'); fbq('track', "PageView"); } }