Sophos: Golf van Log4j-aanvallen op ongepatchte VMware Horizon-servers

Sophos waarschuwt voor een golf aan aanvallen waarbij aanvallers proberen de Log4j-kwetsbaarheid uit te buiten om backdoors en cryptomining malware te installeren. Het virtualisatieplatform VMware Horizon is hierbij een van de doelwitten. Een update voor Horizon is al sinds december beschikbaar, maar deze is nog niet door ieder bedrijf geïnstalleerd.

Apache Log4j is een op Java-gebaseerde tool die in veel toepassingen is verwerkt. Op 9 december bleek een kwetsbaarheid aanwezig in Log4j, die ook webapplicaties en andere systemen die van Log4j gebruik maken kwetsbaar maakt. De kwetsbaarheid maakt het voor aanvallers mogelijk de rechten van webservers op afstand te misbruiken.

VMware bracht in december een patch uit voor VMware Horizon waarin de Log4j-kwetsbaarheid is gedicht. Deze update is helaas nog niet door alle bedrijven geïnstalleerd. Aanvallers blijven kwetsbare VMware Horizon-servers op de korrel nemen, waarschuwt Sophos.

Op afstand code uitvoeren

Zo zijn eind december 2021 en in januari 2022 zijn verschillende aanvallen gedetecteerd waarbij de Log4Shell-kwetsbaarheid in VMware Horizon-servers is uitgebuit, meldt Sophos. Aanvallers maakten hierbij gebruik van een malafide Java-bestand, dat de bestaande legitieme Java-code aanpast. Hieraan wordt een web shell toegevoegd die toegang op afstand en het uitvoeren van code mogelijk maakt.

Sophos meldt dat de hoeveelheid aanvallen via Log4j op VMware Horizon-implementaties in januari is blijven stegen. In veel gevallen probeerden aanvallers cryptomining malware uit te rollen op getroffen systemen. In andere gevallen waren de bedoelingen van de aanvallers minder duidelijk. Sophos stelt dat deze aanvallen mogelijk verband houden met initial access brokers of ransomware actors. Deze aanvallen zijn nog steeds gaande.

Meer informatie is hier beschikbaar.