日前, 英国国民保健署 (NHS) 警告称, 黑客们正在大肆利用 VMware Horizon 虚拟桌面平台中的 Log4Shell 漏洞, 以部署勒索软件及其他恶意程序包. 随后, 微软证实, 一个名为 DEV-0401 的勒索软件团伙在 1 月 4 日就利用了 VMware Horizon 中的漏洞(CVE-2021-44228). 微软表示:"我们的调查表明, 这些活动有些已成功入侵目标系统, 并部署了 NightSky 勒索软件."
微软的调查结果为 NHS 的早期警报提供了新线索, NHS 警告称:"攻击者肆意利用 VMware Horizon 服务器中的 Log4Shell 漏洞, 企图建立 web Shell." 攻击者可以使用这些 Web Shell, 部署恶意软件和勒索软件以及泄露数据. 为了应对这起安全事件, NHS 和 VMware 都敦促用户尽快修补受影响的系统, 以及 / 或者实施安全公告中提到的变通办法.
VMware 发言人表示:"凡是连接到互联网, 但尚未针对 Log4j 漏洞打补丁的服务都很容易受到黑客攻击, VMware 强烈建议立即采取措施." 据了解, 在本月早些时候安全研究组织 MalwareHunterTeam 发现, NightSky 是一个比较新的勒索软件团伙, 在去年年底开始活跃起来.
继 Log4Shell 漏洞之后, 安全研究人员警告类似的漏洞可能很快会出现. 近日, JFrog 安全团队在 H2 数据库中发现了其中一个类似 Log4j 的漏洞(CVE-2021-42392). 这个严重漏洞钻了与 Log4j 同样的空子, 只是不如 Log4j 那么严重, 目前官方尚未对其严重程度进行评分.
据悉, H2 是一款流行的开源数据库管理系统, 用 Java 编写, 它广泛应用于众多平台, 包括 Spring Boot 和 ThingWorks. 该系统可以嵌入到 Java 应用程序中, 或在客户端 - 服务器模式下运行. 据 JFrog 和飞塔的 FortiGuard Labs 介绍, 该系统提供了一种轻量级内存中服务, 不需要将数据存储在磁盘上.
与 Log4Shell 相似, 该漏洞可允许 H2 数据库框架中的几条代码路径将未经过滤的攻击者控制的 URL 传递给启用远程代码执行的函数. 然而, 该漏洞 "不如 Log4Shell 那么严重, 因为受影响的服务器应该更容易找到."JFrog 的一位研究人员表示, 它影响安装了 H2 控制台的系统, 但不影响那些在独立模式下运行的系统.
此外, 默认情况下, H2 控制台仅侦听 localhost 连接, 因此默认安全. 然而 FortiGuard Labs 表示, 攻击者可以修改控制台以侦听远程连接, 因而容易受到远程代码执行攻击. H2 团队此后在新版本中修复了该漏洞, 并拟写了一份重要的 GitHub 公告. 研究团队建议用户将 H2 数据库升级到最新版本, 以降低风险.
研究人员特别指出, H2 漏洞不会是最后一个与 Log4Shell 相似的漏洞. Gartner 研究副总裁 Katell Thielemann 同意这一观点, 称 "我担心会有更多类似 Log4j 的漏洞出现. 这些组件无所不在, 到处被重复使用, 只会使这个问题更复杂."
参考链接:
https://www.sdxcentral.com/articles/news/ransomware-gangs-exploit-vmware-log4shell-vulnerability/2022/01/
来源: http://zhuanlan.51cto.com/art/202201/699189.htm