Conti ransomware çetesi VMware vCenter Server sistemlerine erişmek ve sanal makineleri şifrelemek için kritik Log4Shell istismarını kullanıyor.
Hedef zafiyet içeren vCenter alt yapıları
Log4Shell ve LogJam olarak da bilinen CVE-2021-44228 zafiyet için kavram kanıtı (PoC) yayınlanmıştı. vCenter sunucuları normalde genel internete açık değildir ancak saldırganlar içeri başka cihazları hedef alıyor içeri girdikten sonra yatayda ileriyor ve zafiyet içeren vcenter alt yapılarını hedef alıyor sonrasında vm’leri şifreliyor.
Yatay hareket etmek için Log4Shell
Yapılan saldıralara karşı alınan savunma tedbirlerin çoğu internet’e açık cihazlara yönelik Log4Shell saldırılarını engellemeye odaklanırken, Conti fidye yazılımı, güvenlik açığının fazla ilgi görmeyebilecek dahili cihazları hedeflemek için kullanıyor.
Araştırmacılar, Conti fidye yazılımıkuruluşlarının hedef ağları hedef aldığı ve vCenter sunucularına erişmek için savunmasız Log4j makinelerini kullandığını doğruladı.
Kaynak: bleepingcomputer.com