Οι φορείς απειλών και οι ερευνητές ασφαλείας κάνουν σαρώσεις και χρησιμοποιούν την ευπάθεια Log4j Log4Shell για να αναπτύξουν malware ή να βρουν ευάλωτους servers.
Την Παρασκευή, κυκλοφόρησε δημόσια ένα exploit για μια κρίσιμη ευπάθεια zero-day που ονομάζεται “Log4Shell” και εντοπίζεται στην Apache Log4j Java-based logging πλατφόρμα. Αυτή η ευπάθεια επιτρέπει στους επιτιθέμενους να εκτελούν εξ αποστάσεως μια εντολή σε έναν ευάλωτο server.
Δείτε επίσης: Grafana: Επιδιορθώνει ευπάθεια zero-day μετά την εξάπλωσή της στο Twitter
Λίγο αργότερα κυκλοφόρησε το Log4j 2.15.0 για να διορθώσει την ευπάθεια, αλλά οι φορείς απειλών είχαν ήδη αρχίσει να σαρώνουν και να εκμεταλλεύονται ευάλωτους διακομιστές για να κλέψουν δεδομένα, να εγκαταστήσουν κακόβουλο λογισμικό ή να πάρουν τον έλεγχο ενός server.
Δεδομένου ότι αυτό το λογισμικό χρησιμοποιείται σε χιλιάδες εταιρικές εφαρμογές και websites, οι ειδικοί πιστεύουν ότι μπορεί να υπάρξουν πολλές επιθέσεις και μολύνσεις με malware.
Ας δούμε τις επιθέσεις που έχουν γίνει ήδη γνωστές και εκμεταλλεύονται την ευπάθεια Log4Shell:
Η ευπάθεια Log4Shell χρησιμοποιείται για την εγκατάσταση malware
Όταν αποκαλύπτεται μια ευπάθεια που επιτρέπει την απομακρυσμένη εκτέλεση κώδικα, οι επιτιθέμενοι που διανέμουν malware, είναι συνήθως οι πρώτοι που αρχίζουν να την εκμεταλλεύονται.
Δείτε παρακάτω τα γνωστά malware payloads που εκμεταλλεύονται το Log4Shell:
Cryptominers
Μετά τη δημοσιοποίηση της ευπάθειας, εγκληματίες του κυβερνοχώρου άρχισαν να εκμεταλλεύονται την ευπάθεια Log4Shell για να εκτελέσουν shell scripts που κατεβάζουν και εγκαθιστούν διάφορα cryptominers.
Οι παράγοντες απειλών πίσω από το Kinsing backdoor και cryptomining botnet εκμεταλλεύονται σε μεγάλο βαθμό την ευπάθεια Log4j για την εκτέλεση shell scripts.
Δείτε επίσης: Το Moobot botnet εξαπλώνεται μέσω ευπάθειας στις κάμερες Hikvision
Αυτό το shell script θα αφαιρέσει ανταγωνιστικό κακόβουλο λογισμικό από την ευάλωτη συσκευή και στη συνέχεια θα κατεβάσει και θα εγκαταστήσει το κακόβουλο λογισμικό Kinsing, το οποίο θα ξεκινήσει το cryptomining.
Mirai και Muhstik botnet
Ερευνητές ασφαλείας είδαν, επίσης, φορείς απειλών να εκμεταλλεύονται την ευπάθεια για να εγκαταστήσουν τα Mirai και Muhstik malware σε ευάλωτες συσκευές.
Αυτά τα malware επηρεάζουν IoT συσκευές και διακομιστές και τα προσθέτουν στα botnet τους. Στη συνέχεια, τα χρησιμοποιούν για την ανάπτυξη cryptominers και την εκτέλεση επιθέσεων DDoS μεγάλης κλίμακας.
Cobalt Strike Beacons
Το Microsoft Threat Intelligence Center ανέφερε ότι η ευπάθεια Log4Shell χρησιμοποιείται και για την εγκατάσταση Cobalt Strike beacons σε ευάλωτες συσκευές.
Το Cobalt Strike είναι ένα νόμιμο penetration testing toolkit, το οποίο χρησιμοποιείται για την απομακρυσμένη επιτήρηση δικτύου ή την εκτέλεση περαιτέρω εντολών.
Ωστόσο, οι εγκληματίες του κυβερνοχώρου χρησιμοποιούν συνήθως cracked versions του Cobalt Strike στα πλαίσια παραβιάσεων δικτύου και ransomware επιθέσεων.
Δείτε επίσης: Το Emotet εγκαθιστά το Cobalt Strike σε συσκευές επιτρέποντας πιο γρήγορη μόλυνση με ransomware
Σάρωση και αποκάλυψη πληροφοριών
Εκτός από τη χρήση των Log4Shell exploits για την εγκατάσταση malware, οι παράγοντες απειλών χρησιμοποιούν το exploit για να ανιχνεύσουν ευάλωτους servers και να κλέψουν πληροφορίες.
Ransomware;
Προς το παρόν δεν έχουν βρεθεί στοιχεία για τη χρήση της ευπάθειας από συμμορίες ransomware. Ωστόσο, από τη στιγμή που γίνεται εγκατάσταση του Cobalt Strike, η πραγματοποίηση ransomware επιθέσεων είναι θέμα χρόνου.
Επομένως, είναι επιτακτική ανάγκη να γίνει άμεση εγκατάσταση της πιο πρόσφατης έκδοσης του Log4j για να αντιμετωπιστεί η ευπάθεια.
Πηγή: Bleeping Computer