La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) del gobierno de EE. UU. emitió ayer una nueva advertencia sobre la explotación continua de la peligrosa vulnerabilidad CVE-2021-44228 Apache Log4j, también conocida como Log4Shell, en los servidores VMware Horizon y Unified Access Gateway (UAG).
En su aviso, la agencia dijo que los actores de amenazas, en general, usaban Log4Shell como un medio para obtener acceso inicial a las organizaciones que no aplicaron los parches o soluciones alternativas disponibles cuando se expuso la vulnerabilidad en diciembre de 2021.
Desde ese momento, dijo, varios grupos han explotado Log4Shell en servidores Horizon y UAG abiertos al público y sin parches, generalmente para implantar malware de carga con ejecutables integrados que permiten el comando y control remotos. En al menos un caso conocido, un actor de amenazas persistentes avanzadas (APT) pudo moverse lateralmente dentro de la red de su víctima, obtener acceso a una red de recuperación ante desastres y robar datos confidenciales.
“Si las actualizaciones o las soluciones alternativas no se aplicaron de inmediato después del lanzamiento de actualizaciones de VMware para Log4Shell en diciembre de 2021, trate todos los sistemas VMware afectados como comprometidos”, dijo CISA.
El fundador y director ejecutivo de LogicHub, Kumar Saurabh, comentó: “Esta vulnerabilidad ha seguido un camino típico: después del descubrimiento inicial, hubo una oleada de parches por parte de organizaciones preocupadas por la seguridad, y luego desapareció de las noticias. Pero siempre hay servidores que se pierden u organizaciones que no se mantienen al día con los parches.
“Las vulnerabilidades pueden permanecer durante mucho tiempo y continuar siendo explotadas mientras haya brechas. Es fundamental que nos mantengamos atentos a cualquier explotación, incluso si se ha eliminado de la lista como ‘hecho'”.
Erich Kron, defensor de la concientización sobre seguridad en KnowBe4, agregó: “La aplicación de parches es una parte crítica del plan de seguridad de cualquier organización, y los dispositivos conectados a Internet sin parches, especialmente contra una vulnerabilidad conocida y explotada, crean un riesgo grave para las organizaciones y sus clientes.
“Si bien la aplicación de parches puede ser un desafío e incluso puede representar un riesgo real de interrupción si hay problemas, cualquier organización que tenga dispositivos con acceso a Internet debe tener un sistema implementado y pruebas para reducir el riesgo de manera significativa. La guía emitida por CISA y CGCYBER, de que los servidores VMware sin parches vulnerables a la vulnerabilidad de ejecución remota de código Log4Shell deben considerarse ya comprometidos, solo subraya la gravedad de esta vulnerabilidad y las capacidades de los actores que la están explotando”.
Esta no es la primera vez que las líneas Horizon de VMware reciben una atención particular. En marzo, Sophos publicó una advertencia de inteligencia de que los atacantes estaban explotando Log4Shell para ofrecer puertas traseras y crear perfiles de scripts a servidores Horizon sin parches, sentando las bases para el acceso persistente y futuros ataques cibernéticos, incluido el ransomware.
“Las aplicaciones ampliamente utilizadas, como VMware Horizon, que están expuestas a Internet y necesitan actualizarse manualmente, son particularmente vulnerables a la explotación a gran escala”, dijo Sean Gallagher, investigador sénior de seguridad de Sophos.
En el sitio web de la agencia se puede leer en su totalidad información técnica más detallada sobre algunos de los incidentes de Log4Shell observados a los que CISA ha brindado asistencia, incluidos indicadores de compromiso (IoC) y consejos de mitigación.
