多个勒索软件团伙利用VMware的Log4Shell漏洞
安全 应用安全 黑客攻防
微软证实,一个名为DEV-0401的勒索软件团伙在1月4日就利用了VMware Horizon中的漏洞(CVE-2021-44228)。

日前,英国国民保健署(NHS)警告称,黑客们正在大肆利用VMware Horizon虚拟桌面平台中的Log4Shell漏洞,以部署勒索软件及其他恶意程序包。随后,微软证实,一个名为DEV-0401的勒索软件团伙在1月4日就利用了VMware Horizon中的漏洞(CVE-2021-44228)。微软表示:“我们的调查表明,这些活动有些已成功入侵目标系统,并部署了NightSky勒索软件。”

微软的调查结果为NHS的早期警报提供了新线索,NHS警告称:“攻击者肆意利用VMware Horizon服务器中的Log4Shell漏洞,企图建立Web Shell。”攻击者可以使用这些Web Shell,部署恶意软件和勒索软件以及泄露数据。为了应对这起安全事件,NHS和VMware都敦促用户尽快修补受影响的系统,以及/或者实施安全公告中提到的变通办法。

VMware发言人表示:“凡是连接到互联网,但尚未针对Log4j漏洞打补丁的服务都很容易受到黑客攻击,VMware强烈建议立即采取措施。”据了解,在本月早些时候安全研究组织MalwareHunterTeam发现,NightSky是一个比较新的勒索软件团伙,在去年年底开始活跃起来。

继Log4Shell漏洞之后,安全研究人员警告类似的漏洞可能很快会出现。近日,JFrog安全团队在H2数据库中发现了其中一个类似Log4j的漏洞(CVE-2021-42392)。这个严重漏洞钻了与Log4j同样的空子,只是不如Log4j那么严重,目前官方尚未对其严重程度进行评分。

据悉,H2是一款流行的开源数据库管理系统,用Java编写,它广泛应用于众多平台,包括Spring Boot和ThingWorks。该系统可以嵌入到Java应用程序中,或在客户端-服务器模式下运行。据JFrog和飞塔的FortiGuard Labs介绍,该系统提供了一种轻量级内存中服务,不需要将数据存储在磁盘上。

与Log4Shell相似,该漏洞可允许H2数据库框架中的几条代码路径将未经过滤的攻击者控制的URL传递给启用远程代码执行的函数。然而,该漏洞“不如Log4Shell那么严重,因为受影响的服务器应该更容易找到。”JFrog的一位研究人员表示,它影响安装了H2控制台的系统,但不影响那些在独立模式下运行的系统。

此外,默认情况下,H2控制台仅侦听localhost连接,因此默认安全。然而FortiGuard Labs 表示,攻击者可以修改控制台以侦听远程连接,因而容易受到远程代码执行攻击。H2团队此后在新版本中修复了该漏洞,并拟写了一份重要的GitHub公告。研究团队建议用户将H2数据库升级到最新版本,以降低风险。

研究人员特别指出,H2漏洞不会是最后一个与Log4Shell相似的漏洞。Gartner研究副总裁Katell Thielemann同意这一观点,称“我担心会有更多类似Log4j的漏洞出现。这些组件无所不在,到处被重复使用,只会使这个问题更复杂。”

参考链接:

https://www.sdxcentral.com/articles/news/ransomware-gangs-exploit-vmware-log4shell-vulnerability/2022/01/

【本文是51CTO专栏作者“安全牛”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】

戳这里,看该作者更多好文

 

责任编辑:赵宁宁 来源: 51CTO专栏

同话题下的热门内容

渗透测试101:道德黑客入门指南恶意软件伪装成系统更新,通杀Win Mac Linux三大系统实现超自动化——补丁管理的过去、现在和未来净化网络空间 保护信息安全云密码,开辟网络安全的新“蓝海”首席信息安全官将在2022年优先考虑安全自动化多云环境下管控系统ID的五种手段双重勒索勒索软件兴起

编辑推荐

权威解读 | 网络安全等级保护2.0标准体系以及主要标准浅谈反浏览器指纹追踪符号执行:利用Angr进行简单CTF逆向分析常见六大Web漏洞介绍和防御方案如何理解什么是线程安全?
我收藏的内容
点赞
收藏

51CTO技术栈视频号