Η ευπάθεια Log4Shell στο ευρέως χρησιμοποιούμενο λογισμικό Log4j εξακολουθεί να χρησιμοποιείται από εγκληματίες του κυβερνοχώρου για την ανάπτυξη διαφόρων malware payloads, καθώς και για τη στρατολόγηση συσκευών σε DDoS botnets και για την εγκατάσταση cryptominers.
Μια νέα έκθεση από τη Barracuda, που ανέλυσε αυτές τις επιθέσεις, έδειξε ότι οι περισσότερες απόπειρες εκμετάλλευσης της ευπάθειας προέρχονταν από διευθύνσεις IP με έδρα τις ΗΠΑ. Ακολουθούν η Ιαπωνία, η Κεντρική Ευρώπη και η Ρωσία.
Δείτε επίσης: VMware: Ενημερώστε τους διακομιστές Horizon ενάντια στο Log4j
Τον Δεκέμβριο του 2021, οι ερευνητές διαπίστωσαν ότι η έκδοση 2.14.1 του Log4j και όλες οι προηγούμενες εκδόσεις ήταν ευάλωτες στην κρίσιμη zero-day ευπάθεια CVE-2021-44228, που ονομάζεται “Log4Shell“.
Η Apache, ο προγραμματιστής του Log4j, προσπάθησε να επιλύσει το πρόβλημα κυκλοφορώντας την έκδοση 2.15.0. Ωστόσο, όλα τα προβλήματα φαίνεται να λύθηκαν με την έκδοση 2.17.1, αφού έπρεπε να αντιμετωπιστούν και κάποια άλλα κενά ασφαλείας.
Παρά τις ενημερώσεις, υπάρχουν πολλά συστήματα που συνεχίζουν να είναι ευάλωτα, αφού τρέχουν παλαιότερες εκδόσεις.
DDoS επιθέσεις και cryptominers
Οι ερευνητές της Barracuda εντόπισαν διάφορα payloads που στοχεύουν ευάλωτα Jog4j deployments, αλλά τα παράγωγα botnet Mirai φαίνεται είναι τα κυρίαρχα αυτή τη στιγμή.
Το κακόβουλο λογισμικό Mirai στοχεύει εκτεθειμένες κάμερες δικτύου, routers και άλλες συσκευές και τις εντάσσει σε ένα botnet. Οι φορείς απειλών μπορούν στη συνέχεια να ελέγξουν αυτό το botnet για να εκτελέσουν επιθέσεις DDoS εναντίον ενός συγκεκριμένου στόχου.
Δείτε επίσης: Οι επιτιθέμενοι DDoS βρήκαν νέο τέχνασμα για να χτυπάνε τα sites
Όπως εξηγεί η έκθεση της Barracuda, το Mirai διανέμεται σε διάφορες μορφές και από διαφορετικές πηγές, υποδεικνύοντας ότι οι χειριστές προσπαθούν να δημιουργήσουν ένα μεγάλο botnet που στοχεύει θύματα όλων των μεγεθών.
Οι παράγοντες απειλών πίσω από αυτές τις επιχειρήσεις είτε νοικιάζουν το botnet σε άλλους είτε εξαπολύουν οι ίδιοι επιθέσεις DDoS για να εκβιάσουν εταιρείες.
Άλλα payloads που χρησιμοποιούν την ευπάθεια στο Log4j, περιλαμβάνουν:
- BillGates malware (DDoS)
- Kinsing (cryptominer)
- XMRig (cryptominer)
- Muhstik (DDoS)
Αν θέλετε να προστατευτείτε από αυτές τις επιθέσεις, πρέπει να ενημερώσετε το Log4j στην έκδοση 2.17.1 ή μεταγενέστερη και να διατηρήσετε ενημερωμένες όλες τις web εφαρμογές σας.
Δείτε επίσης: Επιθέσεις Log4j από κρατικούς hacker μέσω νέου PowerShell backdoor
Ενώ η Barracuda αναφέρει ότι βλέπει έναν σταθερό όγκο επιθέσεων που εκμεταλλεύονται την ευπάθεια Log4Shell, η Sophos ανέφερε πρόσφατα μια σχετική μείωση. Ωστόσο, όλοι οι αναλυτές συμφωνούν ότι η απειλή παραμένει.
Πηγή: Bleeping Computer