日前，英國國民保健署(NHS)警告稱，黑客們正在大肆利用VMware Horizon虛擬桌面平臺中的Log4Shell漏洞，以部署勒索軟件及其他惡意程序包。隨后，微軟證實，一個名為DEV-0401的勒索軟件團伙在1月4日就利用了VMware Horizon中的漏洞(CVE-2021-44228)。微軟表示：“我們的調查表明，這些活動有些已成功入侵目標系統，并部署了NightSky勒索軟件。”

微軟的調查結果為NHS的早期警報提供了新線索，NHS警告稱：“攻擊者肆意利用VMware Horizon服務器中的Log4Shell漏洞，企圖建立Web Shell。”攻擊者可以使用這些Web Shell，部署惡意軟件和勒索軟件以及泄露數據。為了應對這起安全事件，NHS和VMware都敦促用戶盡快修補受影響的系統，以及/或者實施安全公告中提到的變通辦法。

VMware發言人表示：“凡是連接到互聯網，但尚未針對Log4j漏洞打補丁的服務都很容易受到黑客攻擊，VMware強烈建議立即采取措施。”據了解，在本月早些時候安全研究組織MalwareHunterTeam發現，NightSky是一個比較新的勒索軟件團伙，在去年年底開始活躍起來。

繼Log4Shell漏洞之后，安全研究人員警告類似的漏洞可能很快會出現。近日，JFrog安全團隊在H2數據庫中發現了其中一個類似Log4j的漏洞(CVE-2021-42392)。這個嚴重漏洞鉆了與Log4j同樣的空子，只是不如Log4j那么嚴重，目前官方尚未對其嚴重程度進行評分。

據悉，H2是一款流行的開源數據庫管理系統，用Java編寫，它廣泛應用于眾多平臺，包括Spring Boot和ThingWorks。該系統可以嵌入到Java應用程序中，或在客戶端-服務器模式下運行。據JFrog和飛塔的FortiGuard Labs介紹，該系統提供了一種輕量級內存中服務，不需要將數據存儲在磁盤上。

與Log4Shell相似，該漏洞可允許H2數據庫框架中的幾條代碼路徑將未經過濾的攻擊者控制的URL傳遞給啟用遠程代碼執行的函數。然而，該漏洞“不如Log4Shell那么嚴重，因為受影響的服務器應該更容易找到。”JFrog的一位研究人員表示，它影響安裝了H2控制臺的系統，但不影響那些在獨立模式下運行的系統。

此外，默認情況下，H2控制臺僅偵聽localhost連接，因此默認安全。然而FortiGuard Labs 表示，攻擊者可以修改控制臺以偵聽遠程連接，因而容易受到遠程代碼執行攻擊。H2團隊此后在新版本中修復了該漏洞，并擬寫了一份重要的GitHub公告。研究團隊建議用戶將H2數據庫升級到最新版本，以降低風險。

研究人員特別指出，H2漏洞不會是最后一個與Log4Shell相似的漏洞。Gartner研究副總裁Katell Thielemann同意這一觀點，稱“我擔心會有更多類似Log4j的漏洞出現。這些組件無所不在，到處被重復使用，只會使這個問題更復雜。”

參考鏈接：

https://www.sdxcentral.com/articles/news/ransomware-gangs-exploit-vmware-log4shell-vulnerability/2022/01/

【本文是51CTO專欄作者“安全牛”的原創文章，轉載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權】

戳這里，看該作者更多好文