پشتیبانی 24/7 :

031-36691964 | 021-88203003

جستجو

هشدارآسیب پذیری Zero-day در Log4j و حملات شناخته شده پس از آن

تیتر مطالب

طی این هفته، آسیب‌پذیری روز صفر مهم به نام Log4Shell در پلتفرم مبتنی بر جاوا Apache Log4j منتشر شد. این آسیب‌پذیری به مهاجمان اجازه می‌دهد تا از راه دور دستوری را بر روی سرور آسیب‌پذیر به سادگی با جستجو اجرا کنند. هرچند بلافاصله پس از این اتفاق، آپاچی، Log4j 2.15.0 را برای رفع این آسیب‌پذیری منتشر کرد، اما مهاجمان قبل از انتشار Log4j 2.15.0 شروع به اسکن و سوء استفاده از سرورهای آسیب‌پذیر برای استخراج داده‌ها، نصب بدافزار یا تصرف سرور کرده بودند. از آنجایی که این نرم افزار در هزاران برنامه و وب سایت سازمانی استفاده می شود، نگرانی قابل توجهی وجود دارد که منجر به حملات گسترده و استقرار بدافزار شود.
جهت اطلاع، حملات شناخته شده ای را که از آسیب پذیری Log4j سوء استفاده می کنند، بیان می کنیم. Log4Shell برای نصب بدافزار استفاده می شود.

Cryptominers

به محض انتشار این آسیب‌پذیری، مهاجمان از آسیب‌پذیری Log4Shell برای اجرای اسکریپت‌های پوسته‌ای که کریپتوماینرهای مختلف را دانلود و نصب می‌کنند، سوء استفاده می‌کنند، همانطور که در زیر نشان داده شده است.
عوامل تهدید در پشت بات نت Kinsing و cryptomining به شدت از آسیب پذیری Log4j با بارهای رمزگذاری شده Base64 سوء استفاده می کنند که داده های سرور آسیب پذیر را دانلود و اسکریپت های پوسته را اجرا می کند.

ax1 khabar

این اسکریپت بدافزار  رقیب را از دستگاه آسیب‌پذیر حذف می‌کند و سپس بدافزار Kinsing را دانلود و نصب می‌کند.

ax2 khabar

 

سایر اکسپلویت های Log4Shell که توسط BleepingComputer برای نصب ماینرها مشاهده می شود، در تصویر زیر قابل مشاهده هستند.

ax3 khabar

 بات‌نت‌های Mirai و Muhstik

Netlab 360 گزارش می دهد که عوامل تهدید از این آسیب پذیری برای نصب بدافزار Mirai و Muhstik بر روی دستگاه های آسیب پذیر سوء استفاده می کنند. این خانواده‌های بدافزار، دستگاه‌ها و سرورهای IoT را در بات‌نت‌های خود استخدام می‌کنند و از آنها برای استقرار cryptominers و انجام حملات DDoS در مقیاس بزرگ استفاده می‌کنند.

اسکن و افشای اطلاعات

علاوه بر استفاده از اکسپلویت های Log4Shell برای نصب بدافزار، مهاجمان از این اکسپلویت برای اسکن سرورهای آسیب پذیر و استخراج اطلاعات استفاده می کنند.
همانطور که در تصویر زیر می بینید، مهاجمان از این اکسپلویت برای وادار کردن سرورهای آسیب پذیر برای دسترسی به URL ها یا انجام درخواست های DNS برای دامنه های برگشتی استفاده می کنند. این به مهاجمان اجازه می دهد تا تعیین کنند که آیا سرور آسیب پذیر است یا خیر و از آن برای حملات آینده استفاده کنند.
برخی از مهاجمان ممکن است با استفاده از این اکسپلویت برای استخراج متغیرهای محیطی که حاوی داده های سرور هستند، از جمله نام میزبان، نام کاربری که سرویس Log4j تحت آن اجرا می شود، نام سیستم عامل و شماره نسخه سیستم عامل، استفاده کنند.

 

ax5 khabar

 

رایج‌ترین دامنه‌ها یا آدرس‌های IP مورد استفاده  جهت استخراج داده‌ها به شرح ذیل است:

ax6 khabar

دامنه bingsearchlib.com بسیار مورد توجه است که به شدت برای سوء استفاده های Log4j استفاده می شود.
شرکت اطلاعاتی  GreyNoise نشان می‌دهد که آدرس‌های IP با استفاده از پاسخ تماس به bingsearchlib.com از Log4Shell 205.185.115.217:47324 استفاده می‌کنند.
این آسیب‌پذیری با شناسه CVE-2021-44228 شناخته شده و دارای شدت بحرانی 10 از 10 است. این آسیب‌پذیری از راه دور و بدون احرازهویت قابل بهره‌برداری است و مهاجم با بهره‌برداری موفق از این آسیب‌پذیری قادر است کد دلخواه خود را در سرور‌های آسیب‌پذیر اجرا نماید.
آسیب‌پذیری CVE-2021-44228 در حال حاضر تحت بهره‌برداری فعال قرار داشته و اکسپلویت آن در لینک زیر موجود است:

https://github.com/tangxiaofeng7/CVE-2021-44228-Apache-Log4j-Rce

جهت کاهش مخاطرات این آسیب‌پذیری به طور موقت، راهکارهای زیر پیشنهاد می‌شود:
*  تنظیم مقدار true برای ویژگی log4j2.formatMsgNoLookups
* حذف کلاس JndiLookup از مسیر کلاس‌ها

با ما تماس بگیرید:
021-88873951
031-36691964
www.panaco.ir
آرامش در پناه امنیت

منبع:

https://www.bleepingcomputer.com