Nog altijd kwetsbaarheden door Log4Shell

Cybercriminelen, inclusief hackgroeperingen die staatssteun genieten, maken nog steeds dankbaar gebruik van Log4Shell-exploits om binnen te komen bij servers van softwarebedrijf VMware. De mogelijkheid om langs de kwetsbare Log4j-tool eigen code op afstand uit te voeren, blijkt nog lang niet overal gedicht te zijn, schrijft AG Connect. De Amerikaanse cybersecurity-overheidsorganisatie CISA en de cyberafdeling van de kustwacht waarschuwen dat servers van VMware Horizon en UA worden gehackt.

Aanvallers mikken nog altijd op servers met die VMware-software omdat ze daar binnen kunnen komen via het inmiddels beruchte gat in Log4j. Die opensourcetool voor logging is in gebruik bij veel verschillende organisaties, ook omdat het dienst doet in vele verschillende producten van diverse ICT-aanbieders. Daaronder ook virtualisatie- en cloudleverancier VMware, waar CISA (Cybersecurity and Infrastructure Security Agency) en het US Coast Guard Cyber Command (CGCYBER) nu voor waarschuwen. De mogelijkheden bij Log4j om kwaardaardige code op een afstand uit te voeren (remote code execution) werden in december wereldkundig .

Al maanden aanvallen

Nu, eind juni, worden er nog steeds succesvolle aanvallen ondernomen op die kwetsbaarheid. Dit nadat er diverse hackgroepen, ook met staatssteun, zijn gedetecteerd, werkende vanuit landen als China, Iran, Noord-Korea en Turkije. Daarnaast hebben diverse commerciële aanvallers zich gericht op Log4Shell, waaronder ook tussenpartijen die bijvoorbeeld systeemtoegang verkopen aan ransomwarebendes.

De Amerikaanse overheid meldt nu bij monde van CISA en CGCYBER dat dit nog altijd gaande is. Zij waarschuwen in een gezamenlijke verklaring dat 'netwerkverdedigers' zich bewust moeten zijn dat kwaadwillenden aanhoudend gebruik maken van Log4Shell (CVE-2021-44228) in VMware-servers. Daarmee krijgen ze toegang tot de ict-infrastructuren van organisaties die hun kwetsbare systemen niet hebben gepatcht of geen workarounds hebben ingesteld.

Het dringende advies is om patches of workarounds zo snel mogelijk door te voeren én om te controleren of er niet al is ingebroken langs deze weg. Zogeheten IOC's (indicators of compromise) worden hiervoor aangedragen. Ongepatchte VMware-systemen moeten eigenlijk beschouwd worden als gecompromitteerd, schrijft Bleeping Computer.