CISA と CGCYBER の Log4Shell 共同勧告：依然として VMware Server はハッキング対象

CISA: Log4Shell exploits still being used to hack VMware servers

2022/06/23 BleepingComputer — 今日の CISA 警告は、Log4Shell のリモート・コード実行の脆弱性  CVE-2021-44228 が、国家を後ろ盾とするハッキング・グループなどの脅威アクターに悪用されており、VMware Horizon／Unified Access Gateway（UAG）サーバーが依然として標的にされているというものだ。攻撃者たちは、ローカルまたはインターネットにアクセスできる脆弱なサーバー上で、 Log4Shell をリモートがら悪用することで、機密データが保存される内部システムへのアクセスを獲得するまで、ネットワーク上の水平移動が可能になる。

2021年 12月に、この脆弱性 CVE-2021-44228 が公開された後に、中国／イラン／北朝鮮／トルコなどの国家を後ろ盾とするハッキング・グループや、ランサムウェア・ギャングたちが頻繁に利用するアクセス・ブローカーなどの、複数の脅威アクターがパッチ未適用のシステムをスキャンして悪用している。

今日の CISA の発表は、​​Coast Guard Cyber Command（CGCYBER）との共同勧告において、Log4Shell を悪用した標的組織ネットワークへのイニシャル・アクセスを得るために、いくつかのサーバーが侵害されているというものだ。

脅威アクターたちは、ネットワークに侵入した後に、様々なマルウェアを展開し、追加のペイロードを展開するためのリモート・アクセスを提供し、数百 GB の機密情報を流出させている。

CISA は、「この悪用の一環として、APT 脅威アクターが、侵害されたシステムにローダー・マルウェアを埋め込み、Command and Control (C2) を可能にしている。確認された侵害のケースでは、これらの APT 脅威アクターネットワークへ侵入し、災害復旧ネットワークにアクセスし、機密データを収集／流出させた」と、アドバイザリで述べている。

パッチ未適用の VMware システムは危険とみなすべき

VMware Server のパッチが未適用の企業は、ハッキングされたものとして捉え、インシデント・レスポンス (IR) 手続きを開始するよう推奨されている。

このような状況下で、適切な対応を行うために必要な手順としては、影響を受けた可能性のあるシステムの即時隔離／関連するログや成果物の収集と確認／必要に応じた第三者 IR 専門家の雇用／CISA へのインシデント報告などが挙げられる。

CISA／CGCYBER の両機関は、「影響を受ける VMware システムを持ち、利用可能なパッチまたは回避策が未適用な組織は、侵害を想定し、マルウェア解析レポート MAR-10382580-1／MAR-10382254-1 で提供される IOC を用いて、防衛対策をとることを推奨する。潜在的な侵害が検出された場合、管理者は本アドバイザリに含まれるインシデント対応の推奨事項を適用し、重要な発見を CISA に報告する必要がある」と述べている。

2022年1月にも VMware は、インターネットに露出している VMware Horizon Serverにるいて、その当時に進行していた Log4Shell 攻撃から保護するよう顧客に呼びかけていたが、今日のアドバイザリは、それに続くものとして発表されている。

2022年に入ってからの、VMware Horizon Server を標的とする攻撃としては、中国語を話す脅威アクターによるランサムウェア Night Sky や、北朝鮮の APT グループ Lazarus による情報ステッカー、イラン系ハッカーグループ TunnelVision によるものがある。

影響を受ける全ての VMware Horizon／UAG Server を、最新バージョンにアップデートし、パッチ適用済みビルドをインストールするまでは、分離された DMZ ゾーンに重要なサービスをホストする／WAF を導入する／ネットワーク境界のアクセスコントロールを厳格にするなどの、攻撃対象領域を減らすための対処が推奨される。

久々の Log4Shell に関する記事ですが、依然として未パッチの VMware Horizon／UAG Server が狙われているため、CISA と CGCYBER が共同勧告を出したようです。昨日の「オープンソース・ソフトウェアと脆弱性の関係：実際に攻撃可能なものは３％に過ぎない」とは真逆の話ですが、攻撃対象が明確に絞り込まれた状況では、それだけ危険度が増すということなのでしょう。よろしければ、Log4j ページも、ご参照ください。