Un groupe de pirates proche du gouvernement iranien utilise la vulnérabilité Log4j pour infecter des serveurs VMware Horizon obsolètes.

Comme le rapportent les chercheurs Amitai Ben Shushan Ehrlich et Yair Rigevsky de la société de sécurité SentinelOne, le groupe cybercriminel appelé « TunnelVison » exploite activement la vulnérabilité Java Log4j (CVE-2021-44228) pour l’exécution de code à distance. Ils peuvent ainsi prendre le contrôle des serveurs affectés et lancer des commandes PowerShell pour activer des portes dérobées, créer des utilisateurs, obtenir des informations et effectuer des mouvements latéraux. VMware utilise généralement Apache Tomcat pour le déploiement d’applications Web Java.

Au cours de l’activité détectée, l’utilisation d’un dépôt Github connu sous le nom de « VmwareHorizon » et de l’utilisateur « protections20 » a été observée.

Il est recommandé de mettre à jour les dernières versions pour éviter ce type d’incident.

Plus d’information:
https://kb.vmware.com/s/article/87073
https://thehackernews.com/2022/02/iranian-hackers-targeting-vmware.html