Почти год спустя после раскрытия информации о Log4j в совместном заявлении CISA и ФБР предупреждают, что если вы еще не защитили свои системы от этой уязвимости, то действительно необходимо сделать это прямо сейчас.
CISA и ФБР предупредили компании, которые не применили необходимые исправления и средства защиты от Log4j к серверным экземплярам VMware Horizon, о том, что их сеть скорее всего уже была взломана, и рекомендуют действовать соответствующим образом.
Это произошло после того, как в ходе расследования кибератаки на организацию, которую они называют «органом федеральной гражданской исполнительной власти», было установлено, что хакеры проникли в сеть, используя непропатченную уязвимость Log4j в сервере VMware Horizon.
Предупреждение прозвучало почти через год после того, как уязвимость Log4j была впервые раскрыта, и организациям было предложено применить исправления или развернуть средства защиты от ошибки кибербезопасности, которую глава CISA Джен Истерли назвал «одной из самых серьезных, если не самой серьезной, из тех, что я видел за всю свою карьеру».
Уязвимость (CVE-2021-44228) находится в широко используемой Java-библиотеке протоколирования Apache Log4j, и при успешной эксплуатации позволяет злоумышленникам удаленно выполнять код и получать доступ к машинам.
Повсеместная природа использования Apache Log4j означает, что она встроена в огромное количество приложений, сервисов и корпоративных программных инструментов, написанных на Java и используемых организациями по всему миру, многие из которых поспешили применить исправления.
Но, несмотря на срочные оповещения о необходимости применения критических обновлений безопасности, все еще есть организации, которые не сделали этого, а значит, они по-прежнему уязвимы для киберпреступников или других злоумышленников, которые хотят использовать Log4j.
Теперь CISA и ФБР предупредили организации с затронутыми системами VMware, которые не применили немедленно исправления или обходные пути, «предположить факт свершившейся компрометации и начать расследование».
Совет по кибербезопасности (CSA) также предупреждает все организации, обнаружившие компрометацию в результате использования Log4j, «предположить латеральное перемещение» злоумышленников, исследовать все подключенные системы и провести аудит учетных записей с высокими привилегиями доступа.
«Все организации, независимо от выявленных признаков компрометации, должны применить рекомендации, приведенные в разделе «Меры по смягчению последствий» данного CSA, для защиты от аналогичной злонамеренной кибер-активности» - сообщается в предупреждении.
Меры включают обновление затронутых систем VMware Horizon и унифицированных шлюзов доступа и всего остального программного обеспечения до последней версии, а также минимизацию атак через Интернет путем размещения основных служб в изолированных сетях и обеспечения строгого контроля доступа по периметру, включая использование надежных паролей и многофакторной аутентификации.
Организациям также рекомендуется проверить свои средства контроля безопасности, особенно в отношении тактики, методов и процедур, используемых злоумышленниками.
CISA заявила, что в данном случае злоумышленники проникли в сеть, используя уязвимость Log4j в непропатченном сервере VMware Horizon. Помимо установки вредоносного ПО для криптомайнинга, злоумышленники смогли перемещаться по сети и похищать имена пользователей и пароли.
CISA пришла к выводу, что в данном случае вредоносная кибер-активность с использованием Log4j была осуществлена группой передовых постоянных угроз, предположительно работающей на иранское правительство.
Источник: https://www.zdnet.com
