英国民保健サービス NHS の VMware Horizon が Log4Shell に狙われている

NHS Warns of Hackers Targeting Log4j Flaws in VMware Horizon

2022/01/07 TheHackerNews — 英国の国民保健サービス (National Health Service:NHS) のデジタル・セキュリティ・チームは、パッチが適用されていない VMware Horizon サーバーに存在するLog4j の脆弱性 (Log4Shell) を利用して、悪意の Web シェルを投下し、侵害したネットワーク上に持続的に存続して、次の攻撃をねらうという未知の脅威行為に対して警鐘を鳴らした。

NHS は、「攻撃といっても、おそらく偵察段階であり、攻撃者は Log4Shell ペイロードを介して Java Naming and Directory InterfaceTM (JNDI) を使用し、悪意のインフラへ向けてコールバックさせている。弱点が特定されると、LDAP (Lightweight Directory Access Protocol) を使用して、悪意の Java クラスファイルを取得/実行し、VM Blast Secure Gateway サービスに Web シェルを注入する」と述べている。

いったん展開された Web シェルは、悪意のソフトウェアの追加展開/データの流出/ランサムウェア展開などの、あとに続く多様な活動の導線として機能する。VMware Horizon の Ver 7.x/8.x に、この Log4j の脆弱性は存在する。

Log4Shell は、オープンソースのロギング・フレームワークである Apache Log4j 2 に存在する、任意のリモートコード実行の脆弱性 CVE-2021-44228 (CVSS:10.0) であり、2021年12月に明らかにされた以来、さまざまなマルウェア・キャンペーンの一部として利用されている。これまでに、国家に支援されるハッキング・グループからランサムウェア・カルテルにいたるまで、さまざまな脅威アクターたちが、この脆弱性に飛びついている。

また、VMware 製品において、Log4j ライブラリの脆弱性が悪用されるのは、今回で2度目となる。先月に、AdvIntel の研究者は、ランサムウェア Conti のインストールを目的として、VMware VCenter サーバーを実行するシステムが狙われていることを明らかにした。

2021年12月に VMware は、Horizon や VCenter などの、Log4Shell の影響を受ける製品のセキュリティ・アップデートをリリースしている。その一方で同社は、スキャンの試みが行われていることを認め、顧客に対して、該当するパッチのインストールもしくは、一時的な回避策の適用により、潜在的なリスクに対処するよう呼びかけている。

昨年12月17日に、「Conti と Log4Shell:大物ランサムウェアは VMware vCenter に狙いを定める」という記事をポストしましたが、その動きが活発になってきたのか、それとも未知の脅威アクターが VMware を狙っているのか、そのあたりは分かりません。そろそろ、Log4Shell 悪用する攻撃が活性化してもおかしくない時期なので、いずれにしても注意は必要です。 この「Log4j 問題の 5W1H:現状の正確な認識と将来へ向けたステップ」は、論点の整理という意味で、とても上手くまとまっている記事です。よろしければ、ご参照ください。

%d bloggers like this: