日前，英国国民保健署（NHS）警告称，黑客们正在大肆利用VMware Horizon虚拟桌面平台中的Log4Shell漏洞，以部署勒索软件及其他恶意程序包。随后，微软证实，一个名为DEV-0401的勒索软件团伙在1月4日就利用了VMware Horizon中的漏洞（CVE-2021-44228）。微软表示：“我们的调查表明，这些活动有些已成功入侵目标系统，并部署了NightSky勒索软件。”

微软的调查结果为NHS的早期警报提供了新线索，NHS警告称：“攻击者肆意利用VMware Horizon服务器中的Log4Shell漏洞，企图建立Web Shell。”攻击者可以使用这些Web Shell，部署恶意软件和勒索软件以及泄露数据。为了应对这起安全事件，NHS和VMware都敦促用户尽快修补受影响的系统，以及/或者实施安全公告中提到的变通办法。

VMware发言人表示：“凡是连接到互联网，但尚未针对Log4j漏洞打补丁的服务都很容易受到黑客攻击，VMware强烈建议立即采取措施。”据了解，在本月早些时候安全研究组织MalwareHunterTeam发现，NightSky是一个比较新的勒索软件团伙，在去年年底开始活跃起来。

继Log4Shell漏洞之后，安全研究人员警告类似的漏洞可能很快会出现。近日，JFrog安全团队在H2数据库中发现了其中一个类似Log4j的漏洞（CVE-2021-42392）。这个严重漏洞钻了与Log4j同样的空子，只是不如Log4j那么严重，目前官方尚未对其严重程度进行评分。

据悉，H2是一款流行的开源数据库管理系统，用Java编写，它广泛应用于众多平台，包括Spring Boot和ThingWorks。该系统可以嵌入到Java应用程序中，或在客户端-服务器模式下运行。据JFrog和飞塔的FortiGuard Labs介绍，该系统提供了一种轻量级内存中服务，不需要将数据存储在磁盘上。

与Log4Shell相似，该漏洞可允许H2数据库框架中的几条代码路径将未经过滤的攻击者控制的URL传递给启用远程代码执行的函数。然而，该漏洞“不如Log4Shell那么严重，因为受影响的服务器应该更容易找到。”JFrog的一位研究人员表示，它影响安装了H2控制台的系统，但不影响那些在独立模式下运行的系统。

此外，默认情况下，H2控制台仅侦听localhost连接，因此默认安全。然而FortiGuard Labs 表示，攻击者可以修改控制台以侦听远程连接，因而容易受到远程代码执行攻击。H2团队此后在新版本中修复了该漏洞，并拟写了一份重要的GitHub公告。研究团队建议用户将H2数据库升级到最新版本，以降低风险。

研究人员特别指出，H2漏洞不会是最后一个与Log4Shell相似的漏洞。Gartner研究副总裁Katell Thielemann同意这一观点，称“我担心会有更多类似Log4j的漏洞出现。这些组件无所不在，到处被重复使用，只会使这个问题更复杂。”

参考链接：

https://www.sdxcentral.com/articles/news/ransomware-gangs-exploit-vmware-log4shell-vulnerability/2022/01/