طی این هفته، آسیبپذیری روز صفر مهم به نام Log4Shell در پلتفرم مبتنی بر جاوا Apache Log4j منتشر شد. این آسیبپذیری به مهاجمان اجازه میدهد تا از راه دور دستوری را بر روی سرور آسیبپذیر به سادگی با جستجو اجرا کنند. هرچند بلافاصله پس از این اتفاق، آپاچی، Log4j 2.15.0 را برای رفع این آسیبپذیری منتشر کرد، اما مهاجمان قبل از انتشار Log4j 2.15.0 شروع به اسکن و سوء استفاده از سرورهای آسیبپذیر برای استخراج دادهها، نصب بدافزار یا تصرف سرور کرده بودند. از آنجایی که این نرم افزار در هزاران برنامه و وب سایت سازمانی استفاده می شود، نگرانی قابل توجهی وجود دارد که منجر به حملات گسترده و استقرار بدافزار شود.
جهت اطلاع، حملات شناخته شده ای را که از آسیب پذیری Log4j سوء استفاده می کنند، بیان می کنیم. Log4Shell برای نصب بدافزار استفاده می شود.
Cryptominers
به محض انتشار این آسیبپذیری، مهاجمان از آسیبپذیری Log4Shell برای اجرای اسکریپتهای پوستهای که کریپتوماینرهای مختلف را دانلود و نصب میکنند، سوء استفاده میکنند، همانطور که در زیر نشان داده شده است.
عوامل تهدید در پشت بات نت Kinsing و cryptomining به شدت از آسیب پذیری Log4j با بارهای رمزگذاری شده Base64 سوء استفاده می کنند که داده های سرور آسیب پذیر را دانلود و اسکریپت های پوسته را اجرا می کند.
این اسکریپت بدافزار رقیب را از دستگاه آسیبپذیر حذف میکند و سپس بدافزار Kinsing را دانلود و نصب میکند.
سایر اکسپلویت های Log4Shell که توسط BleepingComputer برای نصب ماینرها مشاهده می شود، در تصویر زیر قابل مشاهده هستند.
باتنتهای Mirai و Muhstik
Netlab 360 گزارش می دهد که عوامل تهدید از این آسیب پذیری برای نصب بدافزار Mirai و Muhstik بر روی دستگاه های آسیب پذیر سوء استفاده می کنند. این خانوادههای بدافزار، دستگاهها و سرورهای IoT را در باتنتهای خود استخدام میکنند و از آنها برای استقرار cryptominers و انجام حملات DDoS در مقیاس بزرگ استفاده میکنند.
اسکن و افشای اطلاعات
علاوه بر استفاده از اکسپلویت های Log4Shell برای نصب بدافزار، مهاجمان از این اکسپلویت برای اسکن سرورهای آسیب پذیر و استخراج اطلاعات استفاده می کنند.
همانطور که در تصویر زیر می بینید، مهاجمان از این اکسپلویت برای وادار کردن سرورهای آسیب پذیر برای دسترسی به URL ها یا انجام درخواست های DNS برای دامنه های برگشتی استفاده می کنند. این به مهاجمان اجازه می دهد تا تعیین کنند که آیا سرور آسیب پذیر است یا خیر و از آن برای حملات آینده استفاده کنند.
برخی از مهاجمان ممکن است با استفاده از این اکسپلویت برای استخراج متغیرهای محیطی که حاوی داده های سرور هستند، از جمله نام میزبان، نام کاربری که سرویس Log4j تحت آن اجرا می شود، نام سیستم عامل و شماره نسخه سیستم عامل، استفاده کنند.
رایجترین دامنهها یا آدرسهای IP مورد استفاده جهت استخراج دادهها به شرح ذیل است:
دامنه bingsearchlib.com بسیار مورد توجه است که به شدت برای سوء استفاده های Log4j استفاده می شود.
شرکت اطلاعاتی GreyNoise نشان میدهد که آدرسهای IP با استفاده از پاسخ تماس به bingsearchlib.com از Log4Shell 205.185.115.217:47324 استفاده میکنند.
این آسیبپذیری با شناسه CVE-2021-44228 شناخته شده و دارای شدت بحرانی 10 از 10 است. این آسیبپذیری از راه دور و بدون احرازهویت قابل بهرهبرداری است و مهاجم با بهرهبرداری موفق از این آسیبپذیری قادر است کد دلخواه خود را در سرورهای آسیبپذیر اجرا نماید.
آسیبپذیری CVE-2021-44228 در حال حاضر تحت بهرهبرداری فعال قرار داشته و اکسپلویت آن در لینک زیر موجود است:
https://github.com/tangxiaofeng7/CVE-2021-44228-Apache-Log4j-Rce
جهت کاهش مخاطرات این آسیبپذیری به طور موقت، راهکارهای زیر پیشنهاد میشود:
* تنظیم مقدار true برای ویژگی log4j2.formatMsgNoLookups
* حذف کلاس JndiLookup از مسیر کلاسها
با ما تماس بگیرید:
021-88873951
031-36691964
www.panaco.ir
آرامش در پناه امنیت
منبع:
https://www.bleepingcomputer.com
