Hackgroep Prophet Spider maakt actief misbruik van een Log4j-kwetsbaarheid in ongepatchte VMware Horizon servers. Dat concluderen securityonderzoekers van BlackBerry in een nieuw onderzoek.

VMware publiceerde in december 2021 een patch om een Log4j-kwetsbaarheid in VMware Horizon op te lossen. Een maand later waarschuwde een securityteam van de Britse overheid dat hackers actief misbruik maakten van VMware Horizon servers die nog niet waren gepatcht.

Een nieuw rapport van BlackBerry bevestigt de ernst van het probleem. In het rapport beweert BlackBerry dat Prophet Spider – een beruchte initial access broker – verouderde versies van VMware Horizon succesvol misbruikt.

BlackBerry vond Cobalt Strike en cryptocurrency mining software in getroffen servers. Volgens de organisatie kwamen de tactieken van aanvallers overeen met de methodes van Prophet Spider. De hackgroep staat bij BlackBerry bekend als verkoper van netwerktoegang aan ransomwaregroepen.

De situatie bij VMware

Een woordvoerder van VMware liet onlangs weten dat de organisatie “dag en nacht werkt om klanten te begeleiden bij het patchen van systemen. Kwetsbaarheden in SaaS-producten zijn snel en efficiënt op te lossen. Organisaties met on-premises licenties moeten zelf actie ondernemen.”

Het duurt langer dan verwacht. VMware zegt herinneringen te versturen en contact op te nemen met klanten die verouderde VMware Horizon-versies gebruiken. Volgens VMware reageren sommige klanten niet. Bepaalde organisaties blijven op verouderde versies draaien. Zij blijven kwetsbaar voor de aanvallen waar BlackBerry en de Britse overheid voor waarschuwen.

Update: Lokale reactie VMware

We hebben onze lokale contactpersoon van VMware, Boudewijn Aelbers, ook om een reactie gevraagd naar aanleiding van bovenstaand bericht. Hieronder hebben we zijn reactie in zijn geheel opgenomen. Helemaal onderaan staan een aantal links waar je meer informatie kunt vinden over deze Log4j-kwetsbaarheid.

“Vanaf het moment dat de kwetsbaarheden in Log4j bekend werden heeft het helpen van onze klanten en partners een topprioriteit gehad binnen VMware. Het VMware Security Response Center is direct aan de slag gegaan om de impact te bepalen op de omgevingen bij onze klanten en onze eigen systemen en met het definiëren van adviezen over de mogelijk te ondernemen acties”, aldus Boudewijn Aelbers, Director Presales Benelux van VMware.

“We hebben onze klanten en partners wereldwijd, en dus ook in Nederland, actief geïnformeerd over de laatste ontwikkelingen en de impact van de kwetsbaarheden en de mogelijke oplossingen in de vorm van patches en/of workarounds.” Zie onder een lijst met belangrijke informatiebronnen.

“De Security Advisory (2021-0028) heeft inmiddels meer dan 1,2 miljoen views en wordt nog steeds actief geraadpleegd. Onze global support-organisatie heeft ook al meer dan 10.000 tickets gekregen met betrekking tot vragen omtrent Log4j. Vragen die we zo adequaat mogelijk beantwoorden.”

“We blijven nieuwe informatie en inzichten delen op de genoemde blogs en fora. Ons advies aan onze klanten is: lees de informatie goed en onderneem actie waar dat nodig is. Pas patches toe en neem vooral contact op met uw IT-leverancier wanneer u vragen heeft of twijfelt of bepaalde informatie voor u van toepassing is”, besluit Aelbers.

Tip: Log4Shell – ongekende impact, harde lessen voor software-ontwikkelaars