Los atacantes utilizan la vulnerabilidad log4Shell para atacar servidores virtuales

Sophos ha publicado las conclusiones de una investigación que revela cómo los atacantes están utilizando la vulnerabilidad Log4Shell para crear puertas traseras y scripts en servidores VMware Horizon sin parchear, allanando el camino para futuros ataques de ransomware.

Log4Shell es una vulnerabilidad de ejecución remota de código en el componente de registro de Java, Apache Log4J, que está integrado en cientos de productos de software, que fue parcheada en diciembre de 2021. Sin embargo, existen numerosos sistemas sin parchear. En el caso de soluciones como VMware Horizon, que están expuestas a Internet y necesitan actualizarse manualmente, son particularmente vulnerables a la explotación a escala.

Sean Gallagher, investigador senior de seguridad de Sophos, señala que "la investigación de Sophos revela oleadas de ataques dirigidos a los servidores VMware Horizon, a partir de enero, y la entrega de una gama de puertas traseras y criptomineros, así como scripts para recopilar información del dispositivo. Sophos cree que algunas de las puertas traseras pueden ser entregadas por Initial Access Brokers que buscan asegurar el acceso remoto persistente a un objetivo de alto valor que puedan vender a otros atacantes, como los operadores de ransomware".

Las múltiples cargas útiles de ataque detectadas por Sophos mediante Log4Shell para dirigirse a servidores Horizon vulnerables incluyen dos herramientas legítimas de monitorización y administración remota, Atera agent y Splashtop Streamer, probablemente destinadas a su uso malicioso como puertas traseras; la puerta trasera maliciosa Sliver; los criptomineros z0Miner, JavaX miner, Jin y Mimu; y varios shells basados en PowerShell que recopilan información de dispositivos y copias de seguridad.

Según Sophos, los atacantes están utilizando varios enfoques diferentes para infectar objetivos. Mientras que algunos de los ataques anteriores utilizaron Cobalt Strike para organizar y ejecutar las cargas útiles de los criptomineros, la mayor ola de ataques que comenzó a mediados de enero de 2022, ejecutó el script del instalador de criptomineros directamente desde el componente Apache Tomcat del servidor VMware Horizon. Esta ola de ataques está en curso.

"Los hallazgos de Sophos sugieren que múltiples adversarios están implementando estos ataques, por lo que el paso de protección más importante es actualizar todos los dispositivos y aplicaciones que incluyen Log4J con la versión parcheada del software. Esto incluye versiones parcheadas de VMware Horizon, si las organizaciones usan la aplicación en su red", apunta Gallagher. "Log4J está instalado en cientos de productos de software y muchas organizaciones pueden no ser conscientes de la vulnerabilidad que acecha dentro de su infraestructura, particularmente en software comercial, de código abierto o personalizado que no tiene soporte de seguridad regular. Y aunque la aplicación de parches es vital, no será suficiente si los atacantes ya han podido instalar un shell web o una puerta trasera en la red. La defensa en profundidad y actuar sobre cualquier detección de mineros y otras actividades anómalas es fundamental para evitar ser víctima de tales ataques".