Log4j-gat in VMware-servers benut door Iraanse aanvallers

Het eerste gat in Log4j werd begin december ontdekt en heeft toen vrij snel een patch gekregen, maar daarna zijn nog aanvullende kwetsbaarheden ontdekt. Daarvoor zijn bijbehorende patches uitgekomen, maar de securitysituatie rond Log4j bleek al zeer complex te zijn doordat die opensourcetool gebruikt wordt in vele producten van diverse leveranciers. Daaronder ook virtualisatiesoftware van VMware.

Geen 0-day, wel risico

Begin januari is al een nieuwe ransomwarevariant opgedoken die Log4Shell gebruikt om VMware-omgevingen binnen te dringen en die te gijzelen. Deze zogeheten Night Sky-ransomware kopieert data en versleutelt de opgeslagen data bij slachtoffers. Vervolgens voeren cybercriminelen dan een dubbele afpersing uit: losgeld voor een decryptiesleutel én voor het niet lekken van de gestolen gegevens.

Nu blijkt uit onderzoek van SentinelOne dat diezelfde eerste - en ernstigste - Log4Shell-kwetsbaarheid (CVE-2021-44228) wordt gebruikt door Iraanse afpersers. Deze groep krijgt de naam TunnelVision omdat ze veel gebruik maken van tunneling-tools, schrijven securityonderzoekers van SentinelOne. Normaliter gebruiken deze aanvallers relatief 'verse' kwetsbaarheden, waarvoor al wel patches beschikbaar zijn. Lang niet elke organisatie heeft die updates dan echter al geïnstalleerd wanneer TunnelVision toeslaat.

Fortinet, ProxyShell, IoC's

Eerder is deze Iraanse groep al waargenomen met hun gebruik van grote kwetsbaarheden in Fortinet FortiOS (CVE-2018-13379) en Microsoft Exchange (ProxyShell). In de analyse van de Log4j-aanvallen geeft SentinelOne ook een lijst van IoC's (indicators of compromise) waaraan beheerders kunnen zien of zij wellicht aangevallen zijn.