Log4j漏洞难修补！美国联邦政府遭入侵，FBI称黑手为伊朗黑客

美国FBI与网络安全与基础设施安全局（CISA）日前发布一份联合报告称，某个由伊朗支持的未具名威胁组织入侵了一个联邦民事行政部门组织，并部署了XMRig加密货币挖矿恶意软件。

攻击者利用的是未安装Log4Shell（CVE-2021-44228）远程代码执行漏洞补丁的VMware Horizon服务器，抓住机会成功入侵了联邦网络。

在部署加密货币挖矿程序后，这批伊朗恶意黑客还在被感染的服务器上设置了反向代理，希望能在该机构网络内持久驻留。

这份联合咨询报告写道，“在事件响应过程中，CISA确定了恶意黑客利用的是未经修复的VMware Horizon服务器内的Log4Shell漏洞、安装了XMRig加密货币挖矿软件、横向移动至域控制器（DC）、夺取凭证，而后在多台主机上植入了Ngrok反向代理以期持久驻留。”

FBI和CISA还补充称，所有尚未对VMware系统安装Log4Shell补丁的组织都应假设其已遭利用，并建议各方主动在网络中寻找恶意活动的踪迹。

CISA曾于今年6月警告称，VMware Horizon及统一访问网关（UAG）服务器中的Log4Shell漏洞仍面临着多方恶意黑客的攻击，包括国家支持的黑客团伙。

一旦遭受远程利用，Log4Shell漏洞会导致服务器暴露在本地或互联网访问之下，恶意黑客将可进一步在入侵网络内横向移动、访问存储敏感数据的其他内部系统。

• 将受影响的VMware Horizon和统一访问网关（UAG）系统更新至最新版本。
• 最小化组织面向互联网的攻击面。
• 根据云安全联盟（CSA）MITRE ATT&CK企业版框架中列出的威胁行为，执行、测试并验证所在组织的安全程序。
• 根据公告中提及的ATT&CK技术，测试您组织的现有安全控制成效。

来源：安全内参