{"id":261302,"date":"2022-01-08T10:47:46","date_gmt":"2022-01-08T09:47:46","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=261302"},"modified":"2022-01-08T16:41:30","modified_gmt":"2022-01-08T15:41:30","slug":"angriffe-auf-vmware-horizon-server-mit-log4j-schwachstelle","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/01\/08\/angriffe-auf-vmware-horizon-server-mit-log4j-schwachstelle\/","title":{"rendered":"Angriffe auf VMWare Horizon-Server mit log4j-Schwachstelle"},"content":{"rendered":"

\"Sicherheit[English<\/a>]So langsam werden die Folgen der Ende 2021 in der JAVA-Bibliothek log4j entdeckten Schwachstelle sichtbar. Die IT-Spezialisten des britischen Gesundheitswesens (NHS) beobachten, dass eine unbekannte Bedrohungsgruppe gezielt auf VMWare Horizon-Server mit der Log4Shell-Schwachstelle zugreift, um Web-Shells f\u00fcr zuk\u00fcnftige Angriffe zu installieren.<\/p>\n

<\/p>\n

\"\"Ich hatte ja Anfang Dezember 2021 im Artikel 0-day CVE-2021-44228 in Java log4j-Bibliothek tangiert zahlreiche Anbieter<\/a> \u00fcber eine kritische Schwachstelle in der JNDI-Lookup-Funktion der zum Logging benutzen Java Bibliothek log4j berichtet. Diese Software ist in vielen anderen Produkten integriert. Tausende Dienste von Apple, Amazon, Twitter, Minecraft etc. sind \u00fcber diese Schwachstelle anf\u00e4llig. Und es wurden zeitnah erste Angriffe auf Honeypots beobachtet.<\/p>\n

Bisher war aber nicht klar, ob das der \"big bang\" der IT zum Ende des Jahres 2021 werden k\u00f6nnte. Zwar wurden Angriffe auf Mindcraft-Server gesichtet, und auch den Bundesfinanzhof sowie das belgische Verteidigungsministerium hat es getroffen (siehe Links am Artikelende). Aber die richtig gro\u00dfe Welle an Hacks blieb bisher aus.<\/p>\n

Britische NHS beobachtet Angriffe<\/h2>\n

Nun schl\u00e4gt die IT des britischen Gesundheitswesens (National Health Service, NHS) bzw. deren Sicherheitsteam Alarm. Das Sicherheitsteam des britischen NHS beobachte, dass eine unbekannte Bedrohungsgruppe VMWare Horizon-Server mit der Log4Shell-Schwachstelle angreift, um Web-Shells f\u00fcr zuk\u00fcnftige Angriffe zu installieren. beobachten. Darauf weist Catalin Cimpanu in folgendem Tweet<\/a> hin.<\/p>\n

\"NHS<\/a><\/p>\n

Die Warnmeldung des NHS ist hier abrufbar<\/a>. Die IT-Spezialisten gehen davon aus, dass sich der Angriff wahrscheinlich noch in einer Erkundungsphase befindet, in der der Angreifer das Java Naming and Directory InterfaceTM (JNDI) \u00fcber Log4Shell-Payloads verwendet, um seine b\u00f6sartige Infrastruktur aufzurufen.<\/p>\n

Sobald eine Schwachstelle im Zielsystem identifiziert wurde, verwendet der Angriff das Lightweight Directory Access Protocol (LDAP), um eine b\u00f6sartige Java-Klassendatei abzurufen und auszuf\u00fchren, die eine Web-Shell in den VM Blast Secure Gateway-Dienst des VMWare Horizon Servers injiziert. Die Web-Shell kann dann von einem Angreifer verwendet werden, um eine Reihe b\u00f6sartiger Aktivit\u00e4ten auszuf\u00fchren, wie z. B. die Bereitstellung zus\u00e4tzlicher b\u00f6sartiger Software, die Datenexfiltration oder die Bereitstellung von Ransomware.<\/p>\n

Die Sicherheitsleute dokumentieren diese Angriffe in ihrer Warnmeldung und schreiben, dass der Defender diese Angriffe mit VMBlastSG erkennt. Die Leute geben auch PowerShell-Befehle an, um modifizierte Dateien der Angreifer zu entdecken. Betroffene Unternehmen sollten den Abschnitt zu VMware Horizon im VMware-Sicherheitshinweis VMSA-2021-0028<\/a> lesen und die entsprechenden Updates oder Abhilfema\u00dfnahmen sofort anwenden oder anschlie\u00dfend den NHS Digital High Severity Cyber Alert CC-3995<\/a> lesen.<\/p>\n

\u00c4hnliche Artikel:<\/strong>
\n0-day CVE-2021-44228 in Java log4j-Bibliothek tangiert zahlreiche Anbieter<\/a>
\nGegenmittel f\u00fcr 0-day CVE-2021-44228 in Java log4j-Bibliothek<\/a>
\nlog4j-Schwachstelle CVE-2021-44228: Minecraft dringend patchen<\/a>
\nVMware-Produkte durch log4j-Schwachstelle CVE-2021-44228 bedroht<\/a>
\nlog4j FAQ und Repository<\/a>
\nLog4j-News: New Schwachstelle, Bundesfinanzhof-Webseite down, viele Firmen ungepatcht<\/a>
\nLog4j-Sicherheits-Meldungen (28.12.2021)<\/a>
\nWindows Defender: Fixes, Probleme und Log4j-Scanner-Fehlalarme<\/a>
\nRCE-Schwachstelle \u2013 \u00e4hnlich wie log4j \u2013 in H2 (Java) Datenbanksystem entdeckt<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]So langsam werden die Folgen der Ende 2021 in der JAVA-Bibliothek log4j entdeckten Schwachstelle sichtbar. Die IT-Spezialisten des britischen Gesundheitswesens (NHS) beobachten, dass eine unbekannte Bedrohungsgruppe gezielt auf VMWare Horizon-Server mit der Log4Shell-Schwachstelle zugreift, um Web-Shells f\u00fcr zuk\u00fcnftige Angriffe zu … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-261302","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/261302","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=261302"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/261302\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=261302"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=261302"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=261302"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}