VMware Horizon Servers への Log4j 攻撃は衰えることなく継続している

Log4j Attacks Continue Unabated Against VMware Horizon Servers

2022/03/30 DarkReading — いつでも、どこでも、エンタープライズ・アプリへの安全なアクセスをリモート・ワーカーに提供するために、 VMware Horizon サーバーは数多くの組織に利用されている。しかし、2021年12月に公開された Apache Log4j のリモートコード実行の深刻な脆弱性により、VMware Horizon は攻撃者の人気のターゲットであり続けている。

今週のこと、Sophos の研究者たちは、2022年1月19日から現在に至るまで、脆弱な Horizon サーバーに対する攻撃の波が観測されていると発表した。攻撃の多くは、JavaX miner/Jin/z0Miner/XMRig 亜種などの、暗号通貨マイナーを展開しようとする脅威者の試みだった。しかし、他のいくつかの事例では、侵害したシステムで攻撃者たちが、永続的なアクセスを維持するためのバックドアをインストールするケースも確認されている。

Sophos の分析によると、バックドアを提供する攻撃者は、侵害したネットワークへのアクセスを他の脅威者に有料で提供する、Initial Access Brokers (IAB) である可能性が高いとのことだ。最近は、ランサムウェアの運営者が、IAB の最大の顧客となっている。したがって、今回の VMware Horizon に対する攻撃は、パッチ未適用の VMware Horizon サーバーの Log4j 欠陥を狙った、ランサムウェア攻撃の前兆である可能性が高いと、Sophos は述べている。

Sophos の VP of global MSP である Scott Barlow は、「 Web シェルが、既知の IAB の手法やインフラとつながっているケースもあるようだ。彼らがドロップしたシェルは、アクセスを販売した相手にイニシャル・アクセスを提供し、クレデンシャル・ハーベスティングにも使用される可能性がある」と述べている。

英国の国民保健サービス (NHS:National Health Service) は、Log4j の脆弱性 CVE-2021-44228 を含む VMware Horizon サーバーを標的とした攻撃について、いち早く警告を発している。

英国の医療機関向け IT インフラ/サービスを開発/運営する NHS Digital は、2022年1月の警告で、VMware Horizon に組み込まれた Apache Tomcat サービスの Log4J RCE 脆弱性を悪用し、侵入に成功した未知の驚異アクターあ、そのシステムに Web シェルをインストールしていることを確認したと述べている。

NHS Digital は、この Web シェルを使用する攻撃者が、ランサムウェアなどのマルウェアを展開するケースや、感染させた医療システム/ネットワークからのデータ窃取を行うケースなど、さまざまな悪質行為を行う可能性があると指摘していた。

2021年12月に VMware は、この脆弱性に対応した VMware Horizon Server の更新版をリリースしている。Log4j の欠陥の深刻さと悪用の可能性を挙げ、このテクノロジーを使用する組織に修正版へのアップグレードを促した。また同社は、Log4j の脆弱なバージョンを含む、他の製品群についてもアップデートをリリースした。

脆弱性 Log4Shell CVE-2021-44228 は、2021年12月に Apache が公開した3つの脆弱性のうちで、最も深刻な脆弱性である。Log4j 2.0-beta9 〜 Log4j 2.14.1 の log4j でデフォルトで有効になっている、JNDI (Java Naming and Directory Interface) ルックアップ機能に欠陥が存在する。この脆弱性は、攻撃者が脆弱なシステムを完全にリモート・コントロールするための方法を提供し、ほぼすべての Java アプリケーションに影響を与え、また悪用が容易であることから、最近の記憶に残る最悪の欠陥の1つだと考えられている。

多くの人々の予想に反して、この欠陥が公表されてから3カ月が経ったが、この欠陥に起因する重大な侵害はあまり公に知られていない。しかし、多くのセキュリティ専門家は、この欠陥の検出/修正がほとんどの企業にとって困難であることから、攻撃者は今後の数年にわたって、この欠陥を狙い続けるだろうと予想している。また、攻撃者は、すでにこの欠陥を悪用して、数多く組織へのアクセス権を獲得しているが、まだ侵入が発見されていない恐れがもある。

Web シェルとクリプトマイナー

Sophos の分析によると、攻撃者が Tomcat サービスの脆弱性を悪用して、感染したシステム上でリバースシェル・ツール Cobalt Strike をドロップするための、PowerShell スクリプトを実行するケースが判明したようだ。また、Cobalt Strike をバイパスして、VMware Horizon の Tomcat サーバーをターゲットにして、Web シェルをドロップするケースもあった。

Ssophos は、「これらのキャンペーンが標的とする Horizon ホストには、複数の異なるペイロードが配備されていることが判明した。これらのペイロードには、暗号通貨マイナーや、Atera エージェントや Splashtop Streamer といった正規の製品を含む、複数のバックドアが含まれていた。これらは商用リモート管理ツールであり、エージェント経由で任意のソフトウェアを安全に展開/起動することが可能であり、また、正規にインストールされた製品に見えるため、ランサムウェアの運営者は頻繁に悪用している」と述べている。

Scott Barlow は、「組織がソフトウェアを全面的に見直し、未対応の脆弱性 Log4Shell の有無を判断することを推奨する。また、ソフトウェアにパッチが適用された後であっても、これらの攻撃によりバックドアが開放され続けている可能性があるため、すでに発生している侵害を一掃する必要がある」と指摘している。

VMware Horizon と Log4Shell ですが、おそらく、最も注目されているターゲットなのでしょう。これまでに、1月17日の「英国民保健サービス NHS の VMware Horizon が Log4Shell に狙われている」と、1月11日の「Night Sky ランサムウェアによる Log4j バグの悪用:VMware Horizon のハッキングが開始された」、1月26日の「VMware Horizon への Log4Shell 攻撃:悪名高いアクセス・ブローカーが参戦」、2月17日の「VMware Horizon と Log4j 欠陥:イランのハッカーたちがマルウェアを配布」というふうに、これまでに4本の記事がアップされています。よろしければ、ご参照ください。

%d bloggers like this: