Log4Shell の悪用が続く。VMware Horizon Systemsにて

まだまだ終わっていない。「出典」記事が興味深く、翻訳してみた。

Summary　概要

The Cybersecurity and Infrastructure Security Agency (CISA) and United States Coast Guard Cyber Command (CGCYBER) are releasing this joint Cybersecurity Advisory (CSA) to warn network defenders that cyber threat actors, including state-sponsored advanced persistent threat (APT) actors, have continued to exploit CVE-2021-44228 (Log4Shell) in VMware Horizon® and Unified Access Gateway (UAG) servers to obtain initial access to organizations that did not apply available patches or workarounds.

 

Cybersecurity and Infrastructure Security Agency（CISA）とUnited States Coast Guard Cyber Command（CGCYBER）は、ネットワーク防御者に警告するために、この共同サイバーセキュリティアドバイザリ（CSA）を公開し、国家による高度持続脅威（APT）行為者を含むサイバー脅威行為者が、VMware Horizon®およびUnified Access Gateway（UAG）サーバーの CVE-2021-44228 (Log4Shell) を継続して利用し、利用できるパッチや回避方法を適用しなかった組織に対して初期アクセスを取得したことを公表しています。

 

Since December 2021, multiple threat actor groups have exploited Log4Shell on unpatched, public-facing VMware Horizon and UAG servers. As part of this exploitation, suspected APT actors implanted loader malware on compromised systems with embedded executables enabling remote command and control (C2). In one confirmed compromise, these APT actors were able to move laterally inside the network, gain access to a disaster recovery network, and collect and exfiltrate sensitive data.

 

2021年12月以降、複数の脅威者グループが、パッチが適用されていない、公衆向けのVMware HorizonおよびUAGサーバでLog4Shellを悪用しています。この悪用の一環として、APT行為者と疑われる者は、リモートコマンド＆コントロール（C2）を可能にする実行ファイルを埋め込んだローダーマルウェアを侵害されたシステムに埋め込みました。確認された侵害の1件では、APT関係者がネットワーク内部を横方向に移動し、災害復旧ネットワークにアクセスし、機密データを収集・流出させることができました。

 

This CSA provides the suspected APT actors’ tactics, techniques, and procedures (TTPs), information on the loader malware, and indicators of compromise (IOCs). The information is derived from two related incident response engagements and malware analysis of samples discovered on the victims’ networks.

 

本 CSA は、APT 攻撃者の戦術、技術、手順（TTP）、ローダー マルウェアに関する情報、および侵害の指標（IOC）を提供します。この情報は、2つの関連するインシデントレスポンスと、被害者のネットワーク上で発見されたサンプルのマルウェア解析から得られたものです。

 

CISA and CGCYBER recommend all organizations with affected systems that did not immediately apply available patches or workarounds to assume compromise and initiate threat hunting activities using the IOCs provided in this CSA, Malware Analysis Report (MAR)-10382580-1, and MAR-10382254-1. If potential compromise is detected, administrators should apply the incident response recommendations included in this CSA and report key findings to CISA.

 

CISA と CGCYBER は、影響を受けたシステムを持つすべての組織が、利用可能なパッチまたは回避策を直ちに適用せず、侵害を想定し、本 CSA、マルウェア解析レポート（MAR）-10382580-1 および MAR-10382254-1 で提供される IOC を使用して脅威探索活動を開始することを推奨します。潜在的な侵害が検出された場合、管理者は本 CSA に含まれるインシデント対応の推奨事項を適用し、重要な発見を CISA に報告する必要があります。

Incident Response　インシデント対応

 

If administrators discover system compromise, CISA and CGCYBER recommend:

1. Immediately isolating affected systems.
2. Collecting and reviewing relevant logs, data, and artifacts.
3. Considering soliciting support from a third-party incident response organization that can provide subject matter expertise, ensure the actor is eradicated from the network, and avoid residual issues that could enable follow-on exploitation.
4. Reporting incidents to CISA via CISA’s 24/7 Operations Center (report@cisa.gov or 888-282-0870). To report cyber incidents to the Coast Guard pursuant to 33 CFR Section 101.305,  contact the U.S. Coast Guard (USCG) National Response Center (NRC) (NRC@uscg.mil or 800-424-8802).

 

もしシステム管理者がシステム侵害を発見したら、CISAとCGCYBERは以下を推奨します。

1. 影響を受けるシステムを直ちに隔離する。（訳者注、ここから下はフォレンジック専門外注に依頼する組織が多いものと想像する。）
2. 関連するログ、データ、成果物を収集し、レビューする。
3. 専門知識を提供し、ネットワークから行為者を確実に排除し、後続の悪用を可能にする残留問題を回避できる第三者のインシデント対応組織からの支援を求めることを検討する。
4. CISAの24時間オペレーションセンター（report@cisa.gov または 888-282-0870）を通じてCISAにインシデントを報告する。33 CFR Section 101.305に従って沿岸警備隊にサイバー事件を報告するには、米国沿岸警備隊（USCG）国家対応センター（NRC）（NRC@uscg.mil または 800-424-8802）に連絡してください。

 

Mitigations　緩和策

 

CISA and CGCYBER recommend organizations install updated builds to ensure affected VMware Horizon and UAG systems are updated to the latest version.

CISAとCGCYBERは、組織が影響を受けるVMware HorizonおよびUAGシステムが最新バージョンに更新されていることを確認するために、更新されたビルドをインストールすることを推奨しています。

l  If updates or workarounds were not promptly applied following VMware’s release of updates for Log4Shell in December 2021, treat those VMware Horizon systems as compromised. Follow the pro-active incident response procedures outlined above prior to applying updates. If no compromise is detected, apply these updates as soon as possible.
●  2021年12月にVMwareがLog4Shellのアップデートをリリースした後、アップデートまたは回避策が迅速に適用されなかった場合、それらのVMware Horizonシステムを感染したものとして扱います。アップデートを適用する前に、上記で説明したプロアクティブなインシデント対応手順に従います。侵害が検出されない場合は、できるだけ早くこれらのアップデートを適用してください。

Ø  See VMware Security Advisory VMSA-2021-0028.13 and VMware Knowledge Base (KB) 87073 to determine which VMware Horizon components are vulnerable.
・ VMware Horizon のどのコンポーネントが脆弱であるかについては、VMware Security Advisory VMSA-2021-0028.13 および VMware Knowledge Base (KB) 87073 を参照してください。

Ø  Note: until the update is fully implemented, consider removing vulnerable components from the internet to limit the scope of traffic. While installing the updates, ensure network perimeter access controls are as restrictive as possible.
・ 注意：アップデートが完全に実装されるまで、トラフィックの範囲を制限するために、インターネットから脆弱性のあるコンポーネントを削除することを検討してください。アップデートをインストールする間、ネットワーク境界のアクセス制御が可能な限り制限されていることを確認します。（訳者注、これは良いアドバイス。対象の可用性も重要で、簡単にupdateできない場合もあるかと想像するので、代わりに直ぐできる緩和策提示を高く評価する。）

Ø  If upgrading is not immediately feasible, see KB87073 and KB87092 for vendor-provided temporary workarounds. Implement temporary solutions using an account with administrative privileges. Note that these temporary solutions should not be treated as permanent fixes; vulnerable components should be upgraded to the latest build as soon as possible.
・ アップグレードがすぐに実行できない場合、ベンダーが提供する一時的な回避策については、KB87073 および KB87092 を参照してください。管理者権限を持つアカウントを使用して一時的な解決策を実施します。脆弱性のあるコンポーネントは、できるだけ早く最新のビルドにアップグレードしてください。

Ø  Prior to implementing any temporary solution, ensure appropriate backups have been completed.
・ 一時的な解決策を実施する前に、適切なバックアップが完了したことを確認する。

Ø  Verify successful implementation of mitigations by executing the vendor supplied script Horizon_Windows_Log4j_Mitigations.zip without parameters to ensure that no vulnerabilities remain. See KB87073 for details.
・ ベンダーの提供するスクリプト Horizon_Windows_Log4j_Mitigations.zip をパラメータなしで実行して、緩和策の実装が成功したことを確認し、脆弱性が残っていないことを確認します。詳細については、KB87073 を参照してください。

Additionally, CISA and CGCYBER recommend organizations:
さらに、CISAとCGCYBERは、組織に対して次のことを推奨しています。

l  Keep all software up to date and prioritize patching known exploited vulnerabilities (KEVs).

・ すべてのソフトウェアを最新の状態に保ち、既知の脆弱性（KEV）に対するパッチを優先的に適用する。

l  Minimize the internet-facing attack surface by hosting essential services on a segregated DMZ, ensuring strict network perimeter access controls, and not hosting internet-facing services non-essential to business operations. Where possible, implement regularly updated WAFs in front of public-facing services. WAFs can protect against web based exploitation using signatures and heuristics that are likely to block or alert on malicious traffic.
・ 重要なサービスは分離されたDMZでホストし、ネットワーク境界のアクセス制御を厳格に行い、業務に不可欠でないインターネット向けサービスをホストしないことで、インターネット向けの攻撃対象領域を最小にすること。可能であれば、定期的に更新されるWAFを一般公開されるサービスの前に導入する。WAFは、シグネチャとヒューリスティックを使用してWebベースの悪用から保護し、悪意のあるトラフィックをブロックまたは警告する可能性があります。

l  Use best practices for identity and access management (IAM) by implementing multifactor authentication (MFA), enforcing use of strong passwords, and limiting user access through the principle of least privilege.
・ 多要素認証（MFA）の導入、強力なパスワードの使用、最小特権の原則によるユーザーアクセスの制限など、アイデンティティとアクセス管理（IAM）のベストプラクティスを使用する。

出典

Alert (AA22-174A)
Malicious Cyber Actors Continue to Exploit Log4Shell in VMware Horizon Systems

Original release date: June 23, 2022 | Last revised: June 24, 2022