VMware-servers nog stééds het haasje door Log4Shell

Aanvallers mikken nog altijd op servers met die VMware-software omdat ze daar binnen kunnen komen via het inmiddels beruchte gat in Log4j. Die opensourcetool voor logging is in gebruik bij veel verschillende organisaties, ook omdat het dienst doet in vele verschillende producten van diverse ICT-aanbieders. Daaronder ook virtualisatie- en cloudleverancier VMware, waar CISA (Cybersecurity and Infrastructure Security Agency) en het US Coast Guard Cyber Command (CGCYBER) nu voor waarschuwen. De RCE-mogelijkheden (remote code execution) die Log4j raken, zijn in december vorig jaar wereldkundig geworden.

Al maanden aanvallen

Nu, eind juni, worden er nog steeds succesvolle aanvallen ondernomen op die kwetsbaarheid. Dit nadat er diverse hackgroepen, ook met staatssteun, zijn gedetecteerd, werkende vanuit landen als China, Iran, Noord-Korea en Turkije. Daarnaast hebben diverse commerciële aanvallers zich gericht op Log4Shell, waaronder ook tussenpartijen die bijvoorbeeld systeemtoegang verkopen aan ransomwarebendes.

De Amerikaanse overheid meldt nu bij monde van CISA en CGCYBER dat dit nog altijd gaande is. Zij waarschuwen in een gezamenlijke verklaring dat 'netwerkverdedigers' zich bewust moeten zijn dat kwaadwillenden aanhoudend gebruik maken van Log4Shell (CVE-2021-44228) in VMware-servers. Daarmee krijgen ze toegang tot de IT-infrastructuren van organisaties die hun kwetsbare systemen niet hebben gepatcht of geen workarounds hebben ingesteld.

Het dringende advies is om patches of workarounds zo snel mogelijk door te voeren én om te controleren of er niet al is ingebroken langs deze weg. Zogeheten IOC's (indicators of compromise) worden hiervoor aangedragen. Ongepatchte VMware-systemen moeten eigenlijk beschouwd worden als gecompromitteerd, schrijft Bleeping Computer.