Новая уязвимость в распространенной утилите Apache Log4j привлекла повышенное внимание киберпреступников. Ботнеты, криптомайнеры, шифровальщики уже вовсю эксплуатируют Log4Shell, CNews.
Обнаруженная в середине декабря 2021 г. уязвимость в библиотеке Log4j CVE-2021-44228 (Log4Shell) быстро привлекла внимание киберкриминала: ряд шифровальных группировок начали ее активно эксплуатировать, и уже появились первые жертвы.
Как только был опубликован эксплойт к Log4Shell, в Сети началось повальное сканирование уязвимых серверов. Эксплойт начали приспосабливать к делу многочисленные криптомайнеры и ботнеты, такие как Kinsing.
Log4j — это Java-библиотека для сбора логов, используемый огромным количеством различных сетевых сервисов, включая корпоративные и облачные.
Компания BitDefender обнаружила шифровальщик Khonsari, который устанавливался через эксплуатацию уязвимости Log4Shell. При этом в сообщение с требованием выкупа шифровальщика нет никаких контактных данных его операторов, что исключает возможность восстановления доступа к зашифрованным файлам. Это означает, что Khonsari — не столько шифровальщик, сколько вайпер.
Частные серверы игры Minecraft, по данным экспертов по безопасности Microsoft, также начали подвергаться атакам со стороны шифровальшика Khonsari. Любопытно, что уязвимые серверы Minecraft были обнаружены в некоторых корпоративных сетях и становились точкой входа для вредоносного ПО: злоумышленники устанавливали туда обратные шеллы.
Шифровальная группировка Conti на днях начала использовать эксплойт этой уязвимости для получения доступа к серверным установкам VMwarev Center Server и принялась шифровать виртуальные машины.
Уязвимость Log4Shell также вернула к жизни старый и не слишком активный шифровальщик TellYouThePass, нацеленный на системы под Windows и Linux. Его активность резко возросла сразу же после выхода эксплойта к уязвимости.
По данным Curated Intelligence, в этот раз основная часть атак была направлена на цели в Китае.
В 2020 г. операторы TellYouThePass активно использовали в своих атаках другую печально знаменитую уязвимость — EternalBlue.
Эксперты по безопасности компании Blumira объявили, что обнаружили совершенно новый вектор атаки на уязвимость Log4Shell. Используя соединение Java Script Web Socket, потенциальный злоумышленник может с легкостью воспользоваться уязвимостью. По мнению специалистов Blumira, пользователям уязвимых систем достаточно зайти на специально скомпрометированный сайт, чтобы данная уязвимость сработала.
Свидетельств активной эксплуатации этого вектора пока нет, но, как считают в Blumira, он существенно увеличивает потенциальную поверхность атаки и «может сказываться на службах, даже работающих как localhost, без доступа к каким бы то ни было внешним сетям».
Уязвимость Log4Shell позволяет запускать произвольный код без авторизации. Проблема затрагивает все версии утилиты Apache Log4j с 2.0-beta9 по 2.14.1. Под угрозой — базовые конфигурации ApacheStruts2, Apache Solr, Apache Druid, Apache Flink и другие разработки Apache Software Foundation.
ASF выпустил уже три патча к Log4Shell, поскольку помимо исправлений первое и второе обновления — 2.15.0 и 2.16.0 — вносили дополнительные и очень серьезные ошибки. Последней и рекомендуемой к установке является обновление 2.17.0.
«Скорее всего, от желающих воспользоваться уязвимостью не будет отбоя, особенно учитывая, как легко ее эксплуатировать, и дело не ограничится шифровальщиками, криптомайнерами и ботнетами, — считает Анастасия Мельникова, директор по информационной безопасности компании SEQ. — Успешная высокопрофильная атака с использованием Log4Shell, вероятнее всего, вопрос ближайшего времени».
Нажимая на кнопку, я даю Согласие на обработку персональных данных в соответствии с Политикой обработки.