Здравия всем, дамы и господа. Пока статья о Conti готовится я решил объеденить все материалы, что сейчас есть на Log4Shell, т.к. тема всё-таки новая, а Conti уже и так достаточно долго ждал, подождёт ещё недельку.
24 ноября
Группа облачной безопасности Alibaba сообщает Apache об уязвимости.
Имеются сообщения об использовании уязвимости злоумышленниками.
Я думаю многие из вас читали мою новостную статью за тот период. Тогда я впервые узнал про Log4Shell. Думаю, некоторые из вас тоже.
Первый PoC-эксплойт (Proof of Concept) появился в сети в ночь с 9 на 10 декабря, что, видимо, и стало точкой невозврата.
После появления превого, следующие эксплойты для критической уязвимости нулевого дня стали распространяться в Интернете, ставя любого пользователя сети под угрозу постоянных атак с удаленным выполнением кода. Log4j, если вдруг кто-то всё ещё не знает – это очень популярная библиотека журналирования для Java, разработана Apache Foundation и широко используется как корпоративными приложениями, так и облачными службами. Хотя кажется, что рядовые пользователи уже отошли от использования Java (хотя популярные игры, такие как Minecraft, все еще используют его) это никак не отменяет возможности заражения во время клиент-серверного взаимодействия, ведь все, от корпоративного программного обеспечения до веб-приложений и продуктов от Apple, Amazon, Cloudflare, Twitter и Steam, вероятно, уязвимы для эксплойтов RCE, нацеленных на эту уязвимость.
Выше было упомянуто, что Minecraft уязвим. Так вот, в этот же день, буквально через 10 часов после публикации первого PoC-эксплойта Mojang Studios выпустил экстренное обновление безопасности Minecraft для устранения критической ошибки Apache Log4j, используемой клиентом Java Edition игры и многопользовательскими серверами. Уязвимость исправлена в выпуске Minecraft: Java Edition 1.18.1, который сразу же был распространён для всех клиентов.
Тем же вечером исследователи из компании Cybereason выпустили “вакцину”, с помощью которой можно исправить уязвимость удалённо. Исправление реализовывалось посредством эксплуатации сервера и отключения параметра «trustURLCodebase» на удаленном сервере Log4j для уменьшения уязвимости. Проект получил название Logout4Shell. Конечно, уже на тот момент лучшим решением было обновление библиотеки, но и то, что предлагал проект было весьма неплохо.
Сразу, как уязвимость стала набирать популярность, были замечены инциденты установки вредоносного ПО.
Злоумышленники, стоящие за бэкдором Kinsing и ботнетом для майнинга криптовалют, активно пользовались уязвимостью Log4j с полезными нагрузками в кодировке Base64, которые заставляют уязвимый сервер загружать и выполнять сценарии оболочки. Этот сценарий оболочки удалял конкурирующие вредоносные программы с уязвимого устройства, а затем загружал и устанавливал вредоносное ПО Kinsing, которое начнет добычу криптовалюты.
Устанавливались также ботнеты Mirai и Mustik.
Маяки Cobalt Strike тоже устанавливались через уязвимость.
Ну и, совсем уж очевидное – раскрытие информации.
Директор CISA Джон Истерли сделал официальное заявление по поводу Log4Shell, в котором он говорит, что в агенстве принимают срочные меры для устранения уязвимости и выявления любых связанных с ней угроз. Также уязвимость добавлена в каталог известных эксплуатируемых уязвимостей, что вынуждает федеральные гражданские агентства и их нефедеральных партнеров срочно устранять эту уязвимость.
С помощью Log4Shell установился вымогатель Khonsari. Это первый зарегистрирированный случай, когда для загрузки шифровальщика использовалась уязвимость Log4Shell.
Однако проанализировав записку, оставленную злоумышленниками стало ясно, что, скорее всего, это не вымогатель, а, так называемый “очиститель”, ведь контактные данные, указанные в записке принадлежат владельцу антикварного магазина в Луизиане.
В ответ на заявление гоподина Истерли (11 декабря) компании начали проверку и уже через три дня отчитались о результатах.
Microsoft обновила свой отчёт, в котором добавила, что во время исследования была обнаружена активность APT-группировок, эта деятельность варьировалась от различных экспериментов, интеграции уязвимости до развертывания полезной нагрузки в реальных условиях и эксплуатации против целей для достижения собственных целей. Страны, которые были замечены: Китай, Иран, Северная Корея, Турция. Кроме того, Microsoft добавила, что засекла инциденты с установкой шифровальщиков.
Некоторые злоумышленники, использующие уязвимость Apache Log4j, переключились с URL-адресов обратного вызова LDAP на RMI или даже использовали оба в одном запросе для максимальных шансов на успех. Этот сдвиг явился заметным событием в атаке. Большинство атак, нацеленных на уязвимость Log4j «Log4Shell», осуществлялись через службу LDAP (облегченный протокол доступа к каталогам). Переход на RMI (Remote Method Invocation) API сначала кажется нелогичным, учитывая, что этот механизм подвергается дополнительным проверкам и ограничениям, но это не всегда так. Некоторые версии JVM (виртуальная машина Java) не содержат строгих политик, и поэтому RMI иногда может быть более простым каналом для достижения RCE (удаленное выполнение кода), чем LDAP. Более того, запросы LDAP уже были закреплены как часть цепочки заражения и стали более тщательно контролироваться защитниками. Например, многие инструменты IDS / IPS фильтровали запросы с помощью JNDI и LDAP, поэтому есть вероятность, что RMI на этом этапе может быть проигнорирован.
Примерно в то же время были обнаружены свидетельства использования Log4Shell для заражения майнером Monero.
Вот и пересеклись дорожки. Conti стала использовать Log4Shell для взлома серверов VMware vCenter.
Log4Shell стали использовать для распространения шифровальзиков из, как многие думали, неактивного семейства TellYouThePass. Целями являются как Windows устройства, так и Linux.
Уязвимость Denial of Service (DoS) была найдена в версии Log4j 2.16, но к счастью почти в это же время была выпущена версия 2.17. Изначально считалось, что эта уязвимость совершенно не представляет опасности, однако от этого мнения быстро отказались, ведь если по какой-либо причине будет предпринята попытка подстановки “$ {$ {:: - $ {:: - $$ {:: - j}}}}” в строке, это вызовет бесконечную рекурсию, и приложение выйдет из строя.
Добрались наконец до банковских троянов! Dridex также научился пользоваться эксплойтом и получил, можно сказать, нову жизнь. Вредоносное ПО Dridex - это банковский троян, изначально разработанный для кражи учетных данных онлайн-банкинга у жертв. Однако со временем вредоносная программа превратилась в загрузчик, который загружает различные модули, которые могут использоваться для выполнения различного вредоносного поведения, такого как установка дополнительных полезных нагрузок, распространение на другие устройства, создание снимков экрана и т.д.
CISA выпустила сканер веб-приложений на предмет уязвимости Log4Shell. Выделяется следующий функционал:
Министерство внутренней безопасности (DHS) объявило, что программа «Hack DHS» теперь также открыта для охотников за ошибками, желающих отслеживать системы DHS, затронутые уязвимостями Log4j.
Сканер Microsoft Defender выдаёт ложные срабатывания якобы на проникновение Log4Shell. Чаще всего это происходит на серверах Windows Server 2016.
В самой, на тот момент, новой версии Log4j (2.17) была обнаружена очередная RCE-уязвимость и исправлена в версии 2.17.1.
Одна из крупнейших вьетнамских платформ для торговли криптовалютой, ONUS, подверглась кибератаке на ее платежную систему с уязвимой версией Log4j. Достаточно скоро злоумышленники обратились в ONUS с просьбой заплатить сумму в 5 миллионов долларов и пригрозили опубликовать данные о клиентах, если ONUS откажется подчиниться. После отказа компании заплатить выкуп злоумышленники выставили на форумах данные о почти 2 миллионах клиентов ONUS.
Злоумышленники утверждают, что у них есть копии 395 таблиц базы данных ONUS с личной информацией клиентов и хеш-паролями.
Образцы также включали неотредактированные изображения удостоверений личности клиентов, паспортов и предоставленные клиентами видеоклипы для селфи, полученные в процессе подтверждения личности.
Вот и всё. На данный момент это всё, что мне удалось найти про Log4Shell. Почему я вдруг решил об этом написать? Пожалуй по той причине, что я давно хотел написать что-то объёмное и не особо касающееся новостей. Надеюсь получилось читаемо и интересно. Если так, то я продолжу и следующей в подобом формате выйдет статья о Conti. А сейчас я пойду рисовать обложку для статьи и публиковать её. Перед уходом хотелось бы поздравить всех с наступающим новым годом и пожелать всего информационного, технологичного и безопасного, за сим откланяюсь.
24 ноября
Группа облачной безопасности Alibaba сообщает Apache об уязвимости.
1-10 декабря
Имеются сообщения об использовании уязвимости злоумышленниками.
10 декабря
Я думаю многие из вас читали мою новостную статью за тот период. Тогда я впервые узнал про Log4Shell. Думаю, некоторые из вас тоже.
Первый PoC-эксплойт (Proof of Concept) появился в сети в ночь с 9 на 10 декабря, что, видимо, и стало точкой невозврата.
После появления превого, следующие эксплойты для критической уязвимости нулевого дня стали распространяться в Интернете, ставя любого пользователя сети под угрозу постоянных атак с удаленным выполнением кода. Log4j, если вдруг кто-то всё ещё не знает – это очень популярная библиотека журналирования для Java, разработана Apache Foundation и широко используется как корпоративными приложениями, так и облачными службами. Хотя кажется, что рядовые пользователи уже отошли от использования Java (хотя популярные игры, такие как Minecraft, все еще используют его) это никак не отменяет возможности заражения во время клиент-серверного взаимодействия, ведь все, от корпоративного программного обеспечения до веб-приложений и продуктов от Apple, Amazon, Cloudflare, Twitter и Steam, вероятно, уязвимы для эксплойтов RCE, нацеленных на эту уязвимость.
Выше было упомянуто, что Minecraft уязвим. Так вот, в этот же день, буквально через 10 часов после публикации первого PoC-эксплойта Mojang Studios выпустил экстренное обновление безопасности Minecraft для устранения критической ошибки Apache Log4j, используемой клиентом Java Edition игры и многопользовательскими серверами. Уязвимость исправлена в выпуске Minecraft: Java Edition 1.18.1, который сразу же был распространён для всех клиентов.
Тем же вечером исследователи из компании Cybereason выпустили “вакцину”, с помощью которой можно исправить уязвимость удалённо. Исправление реализовывалось посредством эксплуатации сервера и отключения параметра «trustURLCodebase» на удаленном сервере Log4j для уменьшения уязвимости. Проект получил название Logout4Shell. Конечно, уже на тот момент лучшим решением было обновление библиотеки, но и то, что предлагал проект было весьма неплохо.
Ссылка скрыта от гостей
Сразу, как уязвимость стала набирать популярность, были замечены инциденты установки вредоносного ПО.
Злоумышленники, стоящие за бэкдором Kinsing и ботнетом для майнинга криптовалют, активно пользовались уязвимостью Log4j с полезными нагрузками в кодировке Base64, которые заставляют уязвимый сервер загружать и выполнять сценарии оболочки. Этот сценарий оболочки удалял конкурирующие вредоносные программы с уязвимого устройства, а затем загружал и устанавливал вредоносное ПО Kinsing, которое начнет добычу криптовалюты.
Устанавливались также ботнеты Mirai и Mustik.
Маяки Cobalt Strike тоже устанавливались через уязвимость.
Ну и, совсем уж очевидное – раскрытие информации.
11 декабря
Директор CISA Джон Истерли сделал официальное заявление по поводу Log4Shell, в котором он говорит, что в агенстве принимают срочные меры для устранения уязвимости и выявления любых связанных с ней угроз. Также уязвимость добавлена в каталог известных эксплуатируемых уязвимостей, что вынуждает федеральные гражданские агентства и их нефедеральных партнеров срочно устранять эту уязвимость.
Ссылка скрыта от гостей
13 декабря
С помощью Log4Shell установился вымогатель Khonsari. Это первый зарегистрирированный случай, когда для загрузки шифровальщика использовалась уязвимость Log4Shell.
Однако проанализировав записку, оставленную злоумышленниками стало ясно, что, скорее всего, это не вымогатель, а, так называемый “очиститель”, ведь контактные данные, указанные в записке принадлежат владельцу антикварного магазина в Луизиане.
14 декабря
В ответ на заявление гоподина Истерли (11 декабря) компании начали проверку и уже через три дня отчитались о результатах.
- Adobe определила, что ColdFusion 2021 уязвима для Log4Shell, и устранила угрозу безопасности в обновлении, выпущенном 14 декабря.
- Amazon обновила несколько своих продуктов, чтобы использовать неуязвимую версию компонента Log4j, и объявила, что либо находится в процессе обновления других, либо вскоре выпустит новые версии. Компания опубликовала подробную информацию о затронутых сервисах, среди которых OpenSearch, AWS Glue, S3, CloudFront, AWS Greengrass и API Gateway.
Ссылка скрыта от гостей - Основываясь на соственных проверках, Atlassian считает, что никакие локальные продукты не уязвимы для использования в их конфигурации по умолчанию. Однако изменение конфигурации ведения журнала по умолчанию (log4j.properties) для включения функциональности JMS Appender может привести к риску удаленного выполнения кода в некоторых продуктах, таких как Jira Server & Data Center, Confluence Server & Data Center, Bamboo Server & Data Center, Crowd Server & Дата-центр, Fisheye и Crucible.
- Broadcom опубликовала статьи по смягчению последствий для нескольких продуктов Symantec, затронутых уязвимостью Log4j. К ним относятся CA Advanced Authentication, Symantec SiteMinder (CA Single Sign-on), VIP Authentication Hub и Symantec Endpoint Protection Manager (SEPM).
Ссылка скрыта от гостей - Cisco опубликовала список своих продуктов, на которые влияет Log4Shell, а также календарь исправлений некоторых из них, начиная с 14 декабря.
Затронутые продукты относятся к разным категориям, включая следующие:- Устройства безопасности сети и контента (Identity Services Engine, Firepower Threat Defense, Advanced Web Security Reporting Application)
- Совместная работа и социальные сети (Cisco Webex Meetings Server)
- Управление сетью и подготовка (администратор Cisco CloudCenter Suite, диспетчер сети центра обработки данных, Центр управления IoT, оркестратор сетевых служб, механизм автоматизации WAN)
- Маршрутизация и коммутация предприятия (Cisco Network Assurance Engine и Cisco SD-WAN vManage)
- Исправленный пакет Log4j был добавлен в Debian 9 (Stretch), 10 (Buster), 11 (Bullseye) и 12 (Bookworm) в качестве обновления безопасности, говорится в сообщении.
Ссылка скрыта от гостей - Было обнаружено, что дюжина официальных образов Docker использует уязвимую версию библиотеки Log4j. В список входят couchbase , elasticsearch , logstash , sonarqube и solr . Docker сообщает, что он «находится в процессе обновления Log4j 2 в этих образах до последней доступной версии» и что образы могут быть неуязвимы по другим причинам.
Ссылка скрыта от гостей - Сообщение IBM по поводу Log4Shell говорит, что только версии WebSphere Application Server 9.0 и 8.5 были подвержены уязвимости, с помощью консоли администратора и компонентов UDDI реестра приложений, а также о том, что проблема была решена.
Ссылка скрыта от гостей - Oracle заявила, что «ряд» ее продуктов, не раскрывая, какие и сколько, используют уязвимую версию компонента Log4j. Компания направила своих клиентов к My Oracle Support Document и выпустила предупреждение системы безопасности с настоятельной рекомендацией применить предоставленные обновления «как можно скорее».
Ссылка скрыта от гостей - OWASP в информационное сообщении рассказал, что версии сканера веб-приложений Zed Attack Proxy (ZAP) ниже 2.11.1 используют уязвимый компонент Log4j.
Ссылка скрыта от гостей - Компоненты в нескольких продуктах Red Hat подвержены влиянию Log4Shell, организация сообщила, что настоятельно рекомендует клиентам применять обновления, как только они станут доступны. Среди продуктов, перечисленных в рекомендациях, - Red Hat OpenShift 4 и 3.11, OpenShift Logging, OpenStack Platform 13, CodeReady Studio 12, Data Grid 8 и Red Hat Fuse 7.
Ссылка скрыта от гостей - Компания обнаружила, что несколько продуктов уязвимы для Log4Shell. Проблема была исправлена в некоторых продуктах, в то время как для других проводятся тесты для долгосрочного решения. Клиентам рекомендуется обновить программное обеспечение Siemens до последней версии или применить обходные пути и меры по снижению рисков, указанные компанией в своих рекомендациях, а также следовать общим рекомендациям по безопасности.
Ссылка скрыта от гостей - Два продукта SolarWinds используют уязвимую версию Apache Log4j: Server & Application Monitor (SAM) и Database Performance Analyzer (DPA). Однако оба продукта используют версию Java Development Kit (JDK), которая либо не подвержена уязвимости Logj4, либо снижает риск.
- VMware устранила уязвимость в нескольких своих продуктах, уязвимых для атак Log4Shell, и продолжает работу над выпуском исправлений для еще 27 продуктов. В сообщении, которое последний раз обновлялось 24 декабря, компания перечисляет 64 своих продукта, подверженных критической уязвимости. Многие из них ещё ожидают исправления, а в некоторых случаях доступны меры по устранению уязвимости.
Ссылка скрыта от гостей - Пакет Log4j был исправлен в Ubuntu, и обновление поступало в Ubuntu 18.04 LTS (Bionic Beaver), 20.04 LTS (Focal Fossa), 21.04 (Hirsute Hippo) и 21.10 (Impish Indri).
Microsoft обновила свой отчёт, в котором добавила, что во время исследования была обнаружена активность APT-группировок, эта деятельность варьировалась от различных экспериментов, интеграции уязвимости до развертывания полезной нагрузки в реальных условиях и эксплуатации против целей для достижения собственных целей. Страны, которые были замечены: Китай, Иран, Северная Корея, Турция. Кроме того, Microsoft добавила, что засекла инциденты с установкой шифровальщиков.
16 декабря
Некоторые злоумышленники, использующие уязвимость Apache Log4j, переключились с URL-адресов обратного вызова LDAP на RMI или даже использовали оба в одном запросе для максимальных шансов на успех. Этот сдвиг явился заметным событием в атаке. Большинство атак, нацеленных на уязвимость Log4j «Log4Shell», осуществлялись через службу LDAP (облегченный протокол доступа к каталогам). Переход на RMI (Remote Method Invocation) API сначала кажется нелогичным, учитывая, что этот механизм подвергается дополнительным проверкам и ограничениям, но это не всегда так. Некоторые версии JVM (виртуальная машина Java) не содержат строгих политик, и поэтому RMI иногда может быть более простым каналом для достижения RCE (удаленное выполнение кода), чем LDAP. Более того, запросы LDAP уже были закреплены как часть цепочки заражения и стали более тщательно контролироваться защитниками. Например, многие инструменты IDS / IPS фильтровали запросы с помощью JNDI и LDAP, поэтому есть вероятность, что RMI на этом этапе может быть проигнорирован.
Примерно в то же время были обнаружены свидетельства использования Log4Shell для заражения майнером Monero.
17 декабря
Вот и пересеклись дорожки. Conti стала использовать Log4Shell для взлома серверов VMware vCenter.
Log4Shell стали использовать для распространения шифровальзиков из, как многие думали, неактивного семейства TellYouThePass. Целями являются как Windows устройства, так и Linux.
18 декабря
Уязвимость Denial of Service (DoS) была найдена в версии Log4j 2.16, но к счастью почти в это же время была выпущена версия 2.17. Изначально считалось, что эта уязвимость совершенно не представляет опасности, однако от этого мнения быстро отказались, ведь если по какой-либо причине будет предпринята попытка подстановки “$ {$ {:: - $ {:: - $$ {:: - j}}}}” в строке, это вызовет бесконечную рекурсию, и приложение выйдет из строя.
20 декабря
Добрались наконец до банковских троянов! Dridex также научился пользоваться эксплойтом и получил, можно сказать, нову жизнь. Вредоносное ПО Dridex - это банковский троян, изначально разработанный для кражи учетных данных онлайн-банкинга у жертв. Однако со временем вредоносная программа превратилась в загрузчик, который загружает различные модули, которые могут использоваться для выполнения различного вредоносного поведения, такого как установка дополнительных полезных нагрузок, распространение на другие устройства, создание снимков экрана и т.д.
22 декабря
CISA выпустила сканер веб-приложений на предмет уязвимости Log4Shell. Выделяется следующий функционал:
- поддержка списков URL-адресов;
- фаззинг для более чем 60 заголовков HTTP-запросов (а не только 3-4 заголовков, как другие инструменты);
- фаззинг для параметров HTTP POST Data;
- фаззинг для параметров данных JSON;
- поддерживает обратный вызов DNS для обнаружения и проверки уязвимостей;
- полезные данные обхода WAF.
Министерство внутренней безопасности (DHS) объявило, что программа «Hack DHS» теперь также открыта для охотников за ошибками, желающих отслеживать системы DHS, затронутые уязвимостями Log4j.
23 декабря
Сканер Microsoft Defender выдаёт ложные срабатывания якобы на проникновение Log4Shell. Чаще всего это происходит на серверах Windows Server 2016.
28 декабря
В самой, на тот момент, новой версии Log4j (2.17) была обнаружена очередная RCE-уязвимость и исправлена в версии 2.17.1.
29 декабря
Одна из крупнейших вьетнамских платформ для торговли криптовалютой, ONUS, подверглась кибератаке на ее платежную систему с уязвимой версией Log4j. Достаточно скоро злоумышленники обратились в ONUS с просьбой заплатить сумму в 5 миллионов долларов и пригрозили опубликовать данные о клиентах, если ONUS откажется подчиниться. После отказа компании заплатить выкуп злоумышленники выставили на форумах данные о почти 2 миллионах клиентов ONUS.
Злоумышленники утверждают, что у них есть копии 395 таблиц базы данных ONUS с личной информацией клиентов и хеш-паролями.
Образцы также включали неотредактированные изображения удостоверений личности клиентов, паспортов и предоставленные клиентами видеоклипы для селфи, полученные в процессе подтверждения личности.
Вот и всё. На данный момент это всё, что мне удалось найти про Log4Shell. Почему я вдруг решил об этом написать? Пожалуй по той причине, что я давно хотел написать что-то объёмное и не особо касающееся новостей. Надеюсь получилось читаемо и интересно. Если так, то я продолжу и следующей в подобом формате выйдет статья о Conti. А сейчас я пойду рисовать обложку для статьи и публиковать её. Перед уходом хотелось бы поздравить всех с наступающим новым годом и пожелать всего информационного, технологичного и безопасного, за сим откланяюсь.
