VMware exhorte les clients à corriger les vulnérabilités de sécurité critiques de Log4j affectant les serveurs VMware Horizon exposés à Internet et ciblés par les attaques en cours.
Suite à une exploitation réussie, les acteurs de la menace déploient coques Web personnalisées dans le service VM Blast Secure Gateway pour accéder aux réseaux des organisations, selon un récent rapport NHS Digital sur Systèmes VMware Horizon attaqués avec des exploits Log4Shell.
Cela leur permet de mener diverses activités malveillantes, y compris l’exfiltration de données et le déploiement de charges utiles supplémentaires de logiciels malveillants tels que les rançongiciels.
Microsoft a également mis en garde il y a deux semaines contre un acteur menaçant de langue chinoise suivi sous le nom de DEV-0401 qui déploie le rançongiciel Night Sky sur des serveurs VMware Horizon exposés à Internet à l’aide d’exploits Log4Shell.
Dans un e-mail adressé aujourd’hui à EZpublish-france.fr, VMware a déclaré qu’il exhortait vivement les clients à corriger leurs serveurs Horizon pour se défendre contre ces attaques actives.
« Même avec les alertes de sécurité de VMware et les efforts continus pour contacter directement les clients, nous continuons de voir que certaines entreprises n’ont pas corrigé », a déclaré Kerry Tuttle, responsable des communications d’entreprise de VMware, à EZpublish-france.fr.
« Les produits VMware Horizon sont vulnérables aux vulnérabilités critiques d’Apache Log4j/Log4Shell à moins qu’ils ne soient correctement corrigés ou atténués à l’aide des informations fournies dans notre avis de sécurité, VMSA 2021-0028qui a été publié pour la première fois le 10 décembre 2021 et mis à jour régulièrement avec de nouvelles informations.
« Les clients qui n’ont pas appliqué le correctif ou la dernière solution de contournement fournie dans l’avis de sécurité de VMware risquent d’être compromis – ou peuvent avoir déjà été compromis – par des acteurs de la menace qui exploitent la vulnérabilité Apache Log4shell pour compromettre activement les accès non corrigés à Internet. Environnements horizons. »
Les administrateurs ont averti de ne pas baisser la garde
L’appel à l’action de VMware fait suite à un avertissement similaire émis la semaine dernière par le National Cybersecurity Center (NCSC) des Pays-Bas, exhortant les organisations néerlandaises à rester vigilantes face aux menaces persistantes représentées par les attaques Log4j.
L’agence gouvernementale néerlandaise a averti que les acteurs malveillants continueraient à rechercher des serveurs vulnérables qu’ils pourraient violer lors d’attaques ciblées et a demandé aux organisations d’appliquer les mises à jour de sécurité Log4j ou les mesures d’atténuation si nécessaire.
Selon Shodanil existe des dizaines de milliers de serveurs VMware Horizon exposés à Internet, qui doivent tous être corrigés contre les tentatives d’exploitation Log4j.
Les failles de sécurité Log4j (y compris Log4Shell) sont un vecteur d’attaque très attrayant pour les attaquants soutenus par l’État et motivés financièrement, car cette bibliothèque de journalisation Apache open source est utilisée dans les produits logiciels de dizaines de fournisseurs.
La vulnérabilité d’exécution de code à distance Log4Shell, en particulier, peut être exploitée à distance sur des serveurs exposés à un accès local ou Internet pour permettre aux attaquants de se déplacer latéralement sur un réseau jusqu’à ce qu’ils accèdent à des systèmes internes sensibles.
Après sa divulgation, plusieurs acteurs de la menace ont commencé à utiliser les exploits Log4Shell dans la nature, y compris des groupes de piratage soutenus par l’État de Chine, d’Iran, de Corée du Nord et de Turquie, ainsi que des courtiers d’accès utilisés par des gangs de rançongiciels.
« Chaque fois que nous voyons des vulnérabilités aussi importantes que Log4j, il est essentiel que tous les utilisateurs concernés agissent rapidement pour mettre en œuvre des réponses de sécurité », a également déclaré Tuttle à EZpublish-france.fr aujourd’hui.
« VMware recommande vivement aux clients de visiter VMSA-2021-0028 et appliquer les conseils pour Horizon. VMware accorde la priorité à la sécurité de nos clients alors que nous continuons à répondre à l’impact des vulnérabilités d’Apache Log4j à l’échelle de l’industrie. »