لقد تحول برنامج VMware Horizon إلى أحد أكثر الأهداف شيوعًا للمهاجمين الذين يتطلعون إلى استغلال الثغرة الأمنية vulnerability في Log4j - مما يؤكد الحاجة إلى تحديث أي أنظمة متبقية غير مصححة وتنفيذ إجراءات أمنية حول استخدامها.
بالنسبة للمهاجمين، توفر منصة سطح المكتب الافتراضية virtual desktop platform مزيجًا جذابًا من إمكانية الوصول إلى الإنترنت المحتملة، والاستخدام الواسع من قبل المؤسسات المتميزة، وبيانات الشركة القيمة بمجرد دخولها.
مثل العديد من منتجات VMware، تستفيد Horizon من Apache Log4j، وهو مكون برنامج تسجيل مفتوح المصدر شائع. وهذا يجعل الإصدارات غير المصححة من المنتج عرضة للثغرة الأمنية التي يمكن استغلالها بسهولة في تنفيذ التعليمات البرمجية عن بُعد والتي تم الكشف عنها في 9 ديسمبر.
بالنسبة للمهاجمين، توفر منصة سطح المكتب الافتراضية virtual desktop platform مزيجًا جذابًا من إمكانية الوصول إلى الإنترنت المحتملة، والاستخدام الواسع من قبل المؤسسات المتميزة، وبيانات الشركة القيمة بمجرد دخولها.
مثل العديد من منتجات VMware، تستفيد Horizon من Apache Log4j، وهو مكون برنامج تسجيل مفتوح المصدر شائع. وهذا يجعل الإصدارات غير المصححة من المنتج عرضة للثغرة الأمنية التي يمكن استغلالها بسهولة في تنفيذ التعليمات البرمجية عن بُعد والتي تم الكشف عنها في 9 ديسمبر.
نشاط المهاجم Attacker activity
منذ الكشف، ظهرت تقارير عديدة عن مهاجمين يستغلون حالات ضعيفة من VMware Horizon - بما في ذلك من Microsoft و CrowdStrike وخدمة الصحة الوطنية بالمملكة المتحدة U.K. National Health Service.
جاءت أحدث التقارير هذا الأسبوع، حيث كشف باحثو BlackBerry عن ارتباطهم بهجمات مجموعة وسيط وصول أولية - تُعرف باسم "Prophet Spider" - مع استغلال ثغرة Log4j في بيئة VMware Horizon. وفي تقرير صدر هذا الأسبوع أيضًا، قال Red Canary إنه لاحظ نشاطًا لـ Prophet Spider فيما يتعلق باستغلال Log4j للأفق.
بدءًا من أواخر ديسمبر، لاحظ باحثو Red Canary زيادة ملحوظة في عمليات استغلال الجهات الفاعلة للتهديد لخوادم VMware Horizon الضعيفة. إلى جانب التقارير الأخرى، يشير هذا إلى أن برنامج VMware Horizon "هو الخيار الأفضل للخصوم لتضييق نطاق استهداف Log4j"، كما قال باحثو Red Canary.
قال المسؤولون التنفيذيون في مجال الأمن السيبراني هذا الأسبوع أن VMware Horizon قد تم استهدافه بشدة لمجموعة من الأسباب - على الرغم من أن المهاجمين قد استفادوا أيضًا من ممارسات الأمان المتراخية حول استخدام النظام الأساسي.
الوصول عن بعد Remote access
أثناء الانتقال إلى العمل عن بُعد أثناء الوباء، كشفت العديد من الشركات بوابات الوصول إلى VMware Horizon الخاصة بها على الإنترنت، وفقًا لـ Jimmy Astle، مدير أول تمكين الكشف في Red Canary. مكّن هذا العاملين عن بُعد من الاستفادة من جميع موارد الشركة الخاصة بهم مباشرةً من خلال متصفح الويب الخاص بهم.
قال Astle في رسالة بالبريد الإلكتروني: "في حين أن ربط بوابات الوصول إلى Horizon بالإنترنت أتاح العمل عن بعد، فقد يكون قد أدى عن غير قصد إلى زيادة التعرض الكلي لهذه الثغرة الأمنية".
وقال إن حقيقة أن شركة ما تقوم بتشغيل VMware Horizon في المقام الأول هي أيضًا علامة على أنها قد تكون هدفًا مفيدًا للمهاجم. قال Astle إن برامج Horizon والأجهزة المطلوبة لتشغيلها ليست رخيصة، مما يعني أن "الشركات التي تستخدمها عادةً ما تكون أهدافًا جذابة وممولة بشكل جيد".
ومع ذلك، يتمتع برنامج VMware Horizon باستخدام واسع النطاق بين الشركات - وهو عنصر جذاب آخر للمهاجمين، كما قال التنفيذيون.
في الواقع، يعد VMware Horizon "من المحتمل جدًا" المنتج الأكثر استخدامًا مع كل من Log4j وإمكانية قوية لكونه مواجهًا للإنترنت، كما قال Jon Gaines، كبير مستشاري أمان التطبيقات في nVisium.
ومن ثم، فإن الاستخدام الواسع لبرنامج VMware Horizon قد أعطى الجهات المهددة لعدد كبير من الأهداف المحتملة، بينما كان أيضًا أكثر كفاءة من منظور إنشاء برمجيات إكسبلويت.
قال Yaniv Bar-Dayan، الشريك المؤسس والرئيس التنفيذي في Vulcan Cyber، إن عمليات الاستغلال ضد ثغرة أمنية معينة غالبًا ما تحتاج إلى أن تكون مصممة لمنتج معين، "مما يعني أن المهاجمين يميلون إلى بناء برمجيات إكسبلويت التي يمكن أن تؤثر على أكبر عدد من الأهداف".
هدف غني Rich target
وفي الوقت نفسه، تضيف ميزات VMware Horizon نفسها - كنظام أساسي لأجهزة الكمبيوتر المكتبية والتطبيقات الافتراضية - المزيد من الجاذبية للمهاجمين.
قال Gaines في رسالة بريد إلكتروني: "من خلال تسوية مثيل Horizon، يمكنك الوصول إلى العديد من أجهزة سطح المكتب والتطبيقات الافتراضية".
قال Davis McCarthy، الباحث الأمني الرئيسي في Valtix، إن الوصول إلى تطبيقات متعددة وأجهزة سطح مكتب افتراضية "يوفر للجهات الفاعلة في التهديد بيانات قيمة"، فضلاً عن موارد الأجهزة القوية لتعدين العملات المشفرة.
قال McCarthy في رسالة بالبريد الإلكتروني، مع وجود عدة مضيفين يعملون في برنامج مراقبة واحد، فإن برنامج VMware Horizon يعد "هدفًا ثريًا حسب التصميم".
هناك أيضًا أسباب وجيهة وراء استهداف Horizon أكثر من منتجات VMware الأخرى، والتي احتوى الكثير منها أيضًا على Log4j. في منتجات VMware الأخرى، لم تكن الثغرة الأمنية سهلة الاستغلال - وتطلبت خطوات متعددة في بعض الحالات، كما قال Matthew Warner، الشريك المؤسس ورئيس قسم التكنولوجيا في Blumira.
قال Warner في رسالة بالبريد الإلكتروني إن VMware Horizon معرضة للخطر من خلال تنفيذ أمر GET بسيط ضد أي خادم VMware Horizon برأس معدل بشكل خاص. "نتج عن ذلك موقف حيث يمكن للمهاجمين الذين يقومون عادةً بإجراء الفحص والاستغلال إضافة VMware Horizon إلى أنماط هجومهم بسرعة".
استجابة قوية Vigorous response
من جانبها، يبدو أن VMware قد فعلت ما في وسعها للرد على المشكلة حتى الآن.
في اليوم التالي للكشف عن ثغرة Log4j، أصدرت VMware نصيحة وبدأت في إصدار التصحيحات والحلول "بسرعة كبيرة"، كما قال Bar-Dayan.
قال: "لقد عملت VMware بشكل جيد هنا لتمكين مجتمع عملائها من تحديث وحماية أنظمتهم".
وعلق Gaines، قائلاً إنه "معجب" باستجابة VMware - والتي لاحظ أنها تضمنت نشر العديد من منشورات المدونة والتحديثات المنتظمة لاستشارة Log4j الخاصة بها.
أضاف McCarthy أنه بينما عرض VMware "معلومات في الوقت المناسب حول الثغرة الأمنية وما هو مطلوب لمعالجتها" على موقعها على الويب، "هذا ليس هو الحال بالنسبة لبائعي البرامج الآخرين".
رداً على التقارير التي تفيد بأن المهاجمين قد استغلوا حالات Horizon الضعيفة، قالت VMware إنها تعاملت مع الموقف حول ثغرة Log4j "على محمل الجد".
أشارت الشركة إلى أن المنظمات التي تستخدم البرامج المحلية "يجب أن تتخذ خطواتها الإيجابية الخاصة بها لتطبيق التصحيح الأمني في بيئتها الخاصة".
وقالت VMware في بيانها: "حتى مع التنبيهات الأمنية من VMware والجهود المستمرة للاتصال بالعملاء مباشرة، ما زلنا نرى أن بعض الشركات لم يتم تصحيحها". "منتجات VMware Horizon معرضة للثغرات الأمنية الحرجة في Apache Log4j / Log4Shell ما لم يتم تصحيحها أو تخفيفها بشكل صحيح باستخدام المعلومات المقدمة في استشارات الأمان الخاصة بنا، VMSA 2021-0028، والتي تم نشرها لأول مرة في 10 ديسمبر 2021، وتم تحديثها بانتظام بمعلومات جديدة".
العملاء الذين لم يطبقوا التصحيح، أو أحدث الحلول المقدمة في VMware Security Advisory، قالت VMware: "معرضون لخطر الاختراق- أو ربما تعرضوا للاختراق بالفعل- من قبل الجهات الفاعلة في التهديد الذين يستفيدون من ثغرة Apache Log4shell لخرق Horizon غير المصحح بشكل فعال البيئات".
كما توصي VMware العملاء بقراءة مستند الأسئلة الشائعة FAQ document والانضمام إلى القائمة البريدية لـ VMware Security-Announce لتلقي التحذيرات المستقبلية.
مواجهة الإنترنت Internet-facing
إن الحلول الوسط لـ VMware Horizon تدور حول أكثر من مجرد أنظمة غير مسبوقة، على الرغم من ذلك.
أشار Roger Koehler، نائب رئيس عمليات التهديد في Huntress، إلى أن أبحاث شركته (باستخدام محرك بحث Shodan) كشفت عن ما يقرب من 25000 خادم VMware Horizon التي يمكن الوصول إليها عبر الإنترنت.
قال Koehler في رسالة بالبريد الإلكتروني: "إذا كان 10% فقط من هذه المواقع معرضة للخطر، فإن ذلك يمنح المهاجم 2500 خادم Horizon للوصول إلى بيئة".
قال المسؤولون التنفيذيون إنهم يرون حالات قليلة تحتاج فيها الشركة إلى السماح لـ Horizon بالوصول إلى الإنترنت دون الحاجة إلى تدابير أمنية إضافية، مثل VPN والمصادقة متعددة العوامل.
قال Warner : "لا يوجد موقف تقريبًا يجب أن يكون فيه برنامج VMware Horizon مواجهًا للإنترنت" بدون توفير مزيد من الأمان.
قال: "إذا كنت ترغب في تسهيل الوصول إلى شيء ما عن بُعد، فيجب أن يكون ذلك وراء VPN".
قال Astle إن هناك خطأ شائعًا آخر يحدث عند فتح الموارد الداخلية على الإنترنت وهو نسيان تنفيذ قواعد تصفية الخروج. قال إن تصفية الخروج تسمح لك بالتحكم في المنافذ التي يُسمح لها بإجراء اتصالات الشبكة الخارجية من الأجهزة التي تواجه الإنترنت.
قال Astle: "هذه الخطوة الفردية ستعيق بشكل كبير معدل نجاح المهاجم في استغلال هذه الثغرة الأمنية".
الترقيع Patching، بالطبع، لا يزال حرجا. في حين أن الإجراءات الأمنية الأخرى يمكن أن تساعد في تقليل المخاطر التي ينطوي عليها استخدام البرامج التي يمكن الوصول إليها عبر الإنترنت، إلا أنها ليست بديلاً عن القضاء على الثغرة الأمنية تمامًا.
قال Koehler: "إن أكبر توصية لمسؤولي VMware Horizon هي اتباع نصيحة VMware والتأكد من تصحيح أنظمتهم".
