В огромную «дыру» в Apache ринулись шифровальщики, криптомайнеры и ботнеты

Новая уязвимость в распространенной утилите Apache Log4j привлекла повышенное внимание киберпреступников. Ботнеты, криптомайнеры, шифровальщики уже вовсю эксплуатируют Log4Shell, CNews.

Все промелькнули перед нами, все побывали тут

Обнаруженная в середине декабря 2021 г. уязвимость в библиотеке Log4j CVE-2021-44228 (Log4Shell) быстро привлекла внимание киберкриминала: ряд шифровальных группировок начали ее активно эксплуатировать, и уже появились первые жертвы.

Как только был опубликован эксплойт к Log4Shell, в Сети началось повальное сканирование уязвимых серверов. Эксплойт начали приспосабливать к делу многочисленные криптомайнеры и ботнеты, такие как Kinsing.

Log4j — это Java-библиотека для сбора логов, используемый огромным количеством различных сетевых сервисов, включая корпоративные и облачные.

Компания BitDefender обнаружила шифровальщик Khonsari, который устанавливался через эксплуатацию уязвимости Log4Shell. При этом в сообщение с требованием выкупа шифровальщика нет никаких контактных данных его операторов, что исключает возможность восстановления доступа к зашифрованным файлам. Это означает, что Khonsari — не столько шифровальщик, сколько вайпер.

Частные серверы игры Minecraft, по данным экспертов по безопасности Microsoft, также начали подвергаться атакам со стороны шифровальшика Khonsari. Любопытно, что уязвимые серверы Minecraft были обнаружены в некоторых корпоративных сетях и становились точкой входа для вредоносного ПО: злоумышленники устанавливали туда обратные шеллы.

Шифровальная группировка Conti на днях начала использовать эксплойт этой уязвимости для получения доступа к серверным установкам VMwarev Center Server и принялась шифровать виртуальные машины.

Уязвимость Log4Shell также вернула к жизни старый и не слишком активный шифровальщик TellYouThePass, нацеленный на системы под Windows и Linux. Его активность резко возросла сразу же после выхода эксплойта к уязвимости.

По данным Curated Intelligence, в этот раз основная часть атак была направлена на цели в Китае.

В 2020 г. операторы TellYouThePass активно использовали в своих атаках другую печально знаменитую уязвимость — EternalBlue.

Новый вектор и «продолжение следует...»

Эксперты по безопасности компании Blumira объявили, что обнаружили совершенно новый вектор атаки на уязвимость Log4Shell. Используя соединение Java Script Web Socket, потенциальный злоумышленник может с легкостью воспользоваться уязвимостью. По мнению специалистов Blumira, пользователям уязвимых систем достаточно зайти на специально скомпрометированный сайт, чтобы данная уязвимость сработала.

Свидетельств активной эксплуатации этого вектора пока нет, но, как считают в Blumira, он существенно увеличивает потенциальную поверхность атаки и «может сказываться на службах, даже работающих как localhost, без доступа к каким бы то ни было внешним сетям».

Уязвимость Log4Shell позволяет запускать произвольный код без авторизации. Проблема затрагивает все версии утилиты Apache Log4j с 2.0-beta9 по 2.14.1. Под угрозой — базовые конфигурации ApacheStruts2, Apache Solr, Apache Druid, Apache Flink и другие разработки Apache Software Foundation.

ASF выпустил уже три патча к Log4Shell, поскольку помимо исправлений первое и второе обновления — 2.15.0 и 2.16.0 — вносили дополнительные и очень серьезные ошибки. Последней и рекомендуемой к установке является обновление 2.17.0.

«Скорее всего, от желающих воспользоваться уязвимостью не будет отбоя, особенно учитывая, как легко ее эксплуатировать, и дело не ограничится шифровальщиками, криптомайнерами и ботнетами, — считает Анастасия Мельникова, директор по информационной безопасности компании SEQ. — Успешная высокопрофильная атака с использованием Log4Shell, вероятнее всего, вопрос ближайшего времени».