El Servicio Nacional de Salud (NHS) Digital del Reino Unido emitió una advertencia de los atacantes que apuntan activamente a la vulnerabilidad Log4j CVE-2021-44228 en los servidores VMware Horizon para establecer la persistencia.
Las autoridades dicen que el grupo de amenaza es desconocido. Los ataques observados apuntan a la vulnerabilidad Log4j en el servicio Apache Tomcat, que está integrado en VMware Horizon.
Es probable que su actividad de ataque contenga una fase de reconocimiento, en la que utilizan la interfaz de directorio y nombres de Java (JNDI) a través de las cargas útiles de Log4Shell para devolver la llamada a la infraestructura maliciosa, escribió el NHS en su aviso.
“Una vez que se ha identificado una debilidad, el ataque utiliza el Protocolo ligero de acceso a directorios (LDAP) para recuperar y ejecutar un archivo de clase Java malicioso que inyecta un shell web en el servicio VM Blast Secure Gateway”, explicaron los funcionarios.
Luego, el atacante podría usar este shell web para realizar acciones maliciosas, como implementar más malware, filtrar datos o lanzar un ataque de ransomware. En el aviso, el NHS señaló que más sistemas VMware pueden ser vulnerables y las empresas deberían revisar el VMSA-2021-0028 aviso de seguridad: Respuesta de VMware a la vulnerabilidad de ejecución remota de código de Apache Log4j
Leer más detalles esta página.
