آسیب پذیری Log4Shell در محصولات VMware

آسیب پذیری Log4Shell در VMware از دسامبر ۲۰۲۱ که وجودش به صورت عمومی اعلام شد تا به حال یکی از دغدغه‌های متخصصان امنیت به شمار می‌رود. مرکز ماهر نیز لیست محصولات VMware که دارای این آسیب پذیری هستند را در همان زمان اعلام کرد. این مرکز به سازمان‌ها در خصوص برطرف کردن آسیب پذیری Log4Shell در VMware هشدار جدی نیز داد. حالا با وجود ماه‌ها پس از اعلام عمومی آسیب پذیری Log4Shell شاهد واکنش مجدد سازمان‌هایی مانند ICSA و CGYBER آمریکا در این خصوص هستیم. آژانس امنیت ملی امریکا (CISA) همراه با سازمان CGCYBER در روز پنج شنبه بیانیه‌ای منتشر کردند و در مورد افزایش حملات امنیتی هشدار دادند که با اکسپلویت آسیب پذیری Log4Shell در VMware انجام می‌شوند.

حالا کمی در خصوص Log4j توضیح دهیم و سپس به بررسی آسیب پذیری Log4Shell در VMware بپردازیم. نقص فنی Log4shell که با شماره مرجع CVE-2021-44228 مشخص می‌شود امتیاز CVSS 10 را به خود اختصاص داد. پژوهشگران امنیتی امتیاز کامل CVSS را به دلیل استفاده فراگیر از کتابخانه Apache Log4j به نقص فنی Log4shell اختصاص دادند. زیرا این کتابخانه در بسیاری از راهکارها و محصولات مورد استفاده قرار گرفته است. بعد از اعلام عمومی این آسیب پذیری مهاجمان به یک باره با سطح حمله‌ (attack surface) بی‌نظیری روبه رو شدند. این آسیب پذیری از راه دور قابل اکسپلویت شدن بوده و بسیاری از سرویس‌ها، اپلیکیشن‌ها و محصولات مورد استفاده تجارت‌ها از جمله محصولات VMware را تحت تاثیر قرار می‌دهد.  اکسپلویت موفق این آسیب پذیری به مهاجم اجازه می‌دهد تا دستورات مورد نظرش را بر روی سیستم قربانی اجرا کند و کنترل سیستمش را به دست گیرد.

آسیب پذیری Log4Shell در VMware نیز ماه‌ها قبل اعلام شده است اما هنوز در کل دنیا محصولاتی که patch نشده‌اند به وفور یافت می‌شوند. بیایید میزان اکسپلویت این آسیب پذیری در محصولات VMware را بررسی کنیم.

مطابق با آمار، از دسامبر ۲۰۲۱ تا به حال گروه‌های مختلفی اقدام به نفوذ به سرورهای VMware Horizon که از طریق اینترنت قابل دسترس بوده‌اند (public-facing servers) کرده‌اند. مهاجمان در این حملات بدافزارهای loader را بر روی این سرورها قرار می‌دهند و سپس دسترسی از راه دور به این سرورها را ایجاد می‌کنند. آژانس امنیت ملی امریکا اطلاعاتی را از دو مرکز پاسخگویی به تهدیدات (incident response) جمع آوری کرده است که مورد حمله قرار گرفته‌اند.  مطابق این اطلاعات، مهاجمان بعد از ورودشان به این سرورها سربارهای آلوده‌ای را بر روی آن‌ها بارگذاری می‌کنند. این سربارها شامل اسکریپت‌های پاورشل و ابزار دسترسی از راه دور با نام “hmsvc.exe” هستند. این ابزار دارای قابلیت log keystrokes است و می‌تواند بدافزارهای بیشتری را روی سیستم‌های آلوده نصب کند. بدافزار نصب شده می‌تواند به عنوان یک C2 tunneling proxy عمل کند و به مهاجم از راه دور اجازه می‌دهد تا در سیستم‌های دیگر نیز بچرخد و در شبکه حرکت کند. جالب است بدانید مهاجمان حتی  امکان داشتن اینترفیس گرافیکی GUI را بر روی سیستم‌های ویندوزی شبکه مورد هدفشان دارند.

اسکریپت پاور شل‌ که در حمله به یکی از این مراکز مورد استفاده قرار گرفته به مهاجمان کمک می‌کند تا بتوانند بعد از نفوذ در شبکه حرکت کنند. این اسکریپت به مهاجمان امکان بارگذاری بدافزارهای loader را داده که حاوی فایل‌های اجرایی هستند. بعد از این مرحله مهاجمان قادر به مانیتور سیستم‌ها از راه دور بوده‌اند و سپس یک دسترسی reverse shell به دست آورده‌اند. در آخر هم استخراج داده‌ها و بارگذاری فایل‌های اجرایی بیشتر برای مقاصد مخربشان!

آژانس امنیت ملی امریکا در خصوص حملات مرتبط با آسیب پذیری Log4Shell در VMware سواستفاده از نقص فنی دیگری را نیز مطرح کرده‌اند. نقص فنی دوم با شماره مرجع CVE-2022022954 یک آسیب پذیری اجرای کد از راه دور می‌باشد که در VMware Workspace ONE Access و Identity Manager وجود دارد. این نقص فنی در آوریل ۲۰۲۲ به صورت عمومی اعلام شده است و همانطور که میبینید در حملات مورد سواستفاده مهاجمان قرار گرفته است.

توجه داشته باشید که بیشتر از شش ماه از اعلام عمومی وجود آسیب پذیری Log4Shell در VMware می‌گذرد. اما هنوز با میزان زیادی از محصولات patch نشده و آسیب پذیر روبرو هستیم. محصولات و راهکارهایی که بعضا از طریق اینترنت نیز قابل دسترسی هستند. با بررسی اطلاعات جمع آوری شده در خصوص این حملات به این نتیجه میرسیم که در حملاتی APT (َAdvanced Persistent Threats) که پشتیبان دولتی نیز دارند از آسیب پذیری Log4Shell در VMware استفاده شده است. شرکت امنیتی ExtraHop اعلام کرده است هنوز هم مهاجمان در حال اسکن سازمان‌ها برای یافتن آسیب پذیری Log4j هستند. بسیاری از این اسکن‌ها در حوزه بخش‌های مالی و همچنین مراقبت بهداشتی انجام شده است.

این مطلب را با نقل قولی از Randori از شرکت IBM به اتمام می‌رسانیم. آقای Randori در آوریل ۲۰۲۲ ‘ اعلام کرد: ” Log4j آمده است که بماند و بارها و بارها شاهد استفاده مهاجمان از آن خواهد بود.” به عقیده  Randori کتابخانه Log4j در اعماق لایه‌ها و کدهای third-party مورد استفاده قرار گرفته است. پس تا سال‌ها شاهد نفوذ مهاجمان به سازمان‌ها از طریق Log4shell خواهیم بود.

برای مدیریت آسیب‌پذیری و نصب خودکار وصله‌های امنیتی چه چاره‌ای اندیشیده‌اید؟

با راهکار GFI LanGuard طیف وسیعی از توانمندی‌ها از جمله پویش شبکه، تشخیص و اصلاح نقاط آسیب‌پذیر شبکه، مدیریت وصله‌های امنیتی، پویش درگاه‌های شبکه و ارزیابی آسیب‌پذیری‌های پایگاه داده را به سازمان خود بیاورید.