Posté le janvier 10, 2022 à 11:53
DES HACKERS EXPLOITENT UNE FAILLE SUR LES SERVEURS VMWARE HORIZON POUR LANCER DES ATTAQUES
Le National Health Service (NHS) britannique a publié un rapport sur les vulnérabilités de Log4Shell dans les serveurs VMware Horizon. Le rapport note qu’un hacker exploite une faille dans ces serveurs non corrigés, précisant que celui-ci n’a pas été identifié.
L’équipe de sécurité numérique du NHS a noté que les attaquants étaient à la recherche de failles non corrigées dans les serveurs VMware Horizon, les auteurs de l’attaque étant inconnus.
Des hackers inconnus exploitant une faille sur les serveurs VMware Horizon
Le rapport indique qu’un hacker utilise cette vulnérabilité pour envoyer des shells web malveillants et créer un mode d’attaque persistant. À ce titre, il a mené des attaques consécutives sur les serveurs.
Dans l’alerte, le NHS a noté que « l’attaque consiste probablement en une phase de reconnaissance, où l’attaquant utilise la Java Naming and Directory InterfaceTM (JNDI) via des charges utiles Log4Shell pour rappeler une infrastructure malveillante. »
En outre, le rapport indique qu’une fois que l’acteur de la menace a identifié la vulnérabilité, il a utilisé le protocole LDAP (Lightweight Directory Access Protocol) pour récupérer un fichier class Java malveillant. Ce fichier a ensuite été exécuté, de sorte qu’il a introduit un shell Web dans le service VM Blast Secure Gateway.
Le shell web a ensuite été déployé, puis utilisé comme outil pour mener diverses attaques. Après le lancement de l’attaque initiale, une série d’activités post-exploitation ont également été menées. Ces activités ont servi à diverses choses, notamment à déployer des logiciels malveillants, à exfiltrer des données ou à déployer des ransomwares.
Comme mentionné précédemment, l’exploit est mené sur des serveurs VMware Horizon qui n’ont pas été patchés. Les vulnérabilités de Log4j sont présentes sur les versions 7.x et 8.x des serveurs VMware Horizon.
Ce n’est pas la première fois que la faille est détectée
Log4Shellis est une vulnérabilité avec un CVE-2021-44228 et un score CVSS de 100. Il s’agit également d’une faille critique d’exécution de code arbitraire à distance présente dans Apache Log4j 2, un framework de journalisation open-source. Elle a été exécutée dans le cadre de diverses campagnes de logiciels malveillants depuis son lancement en décembre de l’année dernière.
Compte tenu de sa grande portée, la faille a attiré un large éventail d’acteurs de menace cherchant à l’exploiter. Les hackers et les attaquants de ransomware des États ont été les premiers à tirer parti de cette vulnérabilité et à accéder aux utilisateurs.
Ce n’est pas la première fois que les produits VMware sont exploités. Les produits ont déjà été exploités par le passé en raison de failles non corrigées dans la bibliothèque Log4j. En décembre de l’année dernière, un rapport sur une attaque menée à l’aide de cette vulnérabilité a été publié.
Les chercheurs d’AdvIntel ont noté que les hackers ciblaient les systèmes qui exploitaient les serveurs sur VMware VCenter. L’objectif de ces attaques était d’installer le ransomware Conti sur les appareils et d’accéder aux utilisateurs et à leurs appareils.
En outre, VMware prévoit de publier des correctifs de sécurité pour divers produits. Les correctifs ont été publiés pour Horizon, VCenter et un large éventail d’autres produits. Ils ont été mis en œuvre le mois dernier, ce qui pourrait avoir été déclenché par Log4Shell.
La plateforme a également invité les utilisateurs à installer les correctifs si nécessaire. La plateforme a également ajouté que les clients pouvaient travailler sur d’autres solutions de façon temporaire pour éviter tout risque potentiel.
En outre, le rapport du NHS fournit plusieurs conseils que les utilisateurs peuvent suivre pour réduire le risque potentiel d’être victime de l’exploitation de cette vulnérabilité. L’organisme a noté que les organisations devaient être attentives aux signes indiquant que leurs serveurs pourraient être exploités par l’attaque.
Le rapport indique qu’un élément de preuve permettant de détecter si un système a été exploité est le « ws_TomcatService.exe spawning abnormal processes ». La détection précoce de telles vulnérabilités pourrait permettre aux organisations de ne pas subir de dommages majeurs à l’avenir.
Les organisations doivent également être attentives à « tout processus powershell.exe contenant VMBlastSG dans la ligne de commande ». Cela pourrait également aider l’organisation à découvrir une attaque potentielle sur ses serveurs et lui donner une approche proactive pour détecter et maîtriser l’attaque avant qu’elle ne se produise.
Le rapport fait également état de « modifications du fichier ‘…/VMware/VMwareView/Server/appblastgateway/lib/absg-worker.js’ – Ce fichier est généralement écrasé lors des mises à jour et n’est pas modifié.
Le NHS a veillé à renforcer la cybersécurité dans le secteur de la santé. Ce secteur a été confronté à une augmentation des cyberattaques, les hackers ayant accès aux données sensibles des patients. Le nombre d’attaques contre des établissements de santé s’est particulièrement intensifié pendant la pandémie. Le NHS s’est donc engagé à protéger les données sensibles et à veiller à ce que les organisations disposent des bons systèmes pour lutter contre ces attaques malveillantes.
