Здравия всем, дамы и господа. Пока статья о Conti готовится я решил объеденить все материалы, что сейчас есть на Log4Shell, т.к. тема всё-таки новая, а Conti уже и так достаточно долго ждал, подождёт ещё недельку.

Группа облачной безопасности Alibaba сообщает Apache об уязвимости.

Имеются сообщения об использовании уязвимости злоумышленниками.

Я думаю многие из вас читали мою новостную статью за тот период. Тогда я впервые узнал про Log4Shell. Думаю, некоторые из вас тоже.

Первый PoC-эксплойт (Proof of Concept) появился в сети в ночь с 9 на 10 декабря, что, видимо, и стало точкой невозврата.

После появления превого, следующие эксплойты для критической уязвимости нулевого дня стали распространяться в Интернете, ставя любого пользователя сети под угрозу постоянных атак с удаленным выполнением кода. Log4j, если вдруг кто-то всё ещё не знает – это очень популярная библиотека журналирования для Java, разработана Apache Foundation и широко используется как корпоративными приложениями, так и облачными службами. Хотя кажется, что рядовые пользователи уже отошли от использования Java (хотя популярные игры, такие как Minecraft, все еще используют его) это никак не отменяет возможности заражения во время клиент-серверного взаимодействия, ведь все, от корпоративного программного обеспечения до веб-приложений и продуктов от Apple, Amazon, Cloudflare, Twitter и Steam, вероятно, уязвимы для эксплойтов RCE, нацеленных на эту уязвимость.

Выше было упомянуто, что Minecraft уязвим. Так вот, в этот же день, буквально через 10 часов после публикации первого PoC-эксплойта Mojang Studios выпустил экстренное обновление безопасности Minecraft для устранения критической ошибки Apache Log4j, используемой клиентом Java Edition игры и многопользовательскими серверами. Уязвимость исправлена в выпуске Minecraft: Java Edition 1.18.1, который сразу же был распространён для всех клиентов.

Тем же вечером исследователи из компании Cybereason выпустили “вакцину”, с помощью которой можно исправить уязвимость удалённо. Исправление реализовывалось посредством эксплуатации сервера и отключения параметра «trustURLCodebase» на удаленном сервере Log4j для уменьшения уязвимости. Проект получил название Logout4Shell. Конечно, уже на тот момент лучшим решением было обновление библиотеки, но и то, что предлагал проект было весьма неплохо.
GitHub - Cybereason/Logout4Shell: Use Log4Shell vulnerability to vaccinate a victim server against Log4Shell

Сразу, как уязвимость стала набирать популярность, были замечены инциденты установки вредоносного ПО.
Злоумышленники, стоящие за бэкдором Kinsing и ботнетом для майнинга криптовалют, активно пользовались уязвимостью Log4j с полезными нагрузками в кодировке Base64, которые заставляют уязвимый сервер загружать и выполнять сценарии оболочки. Этот сценарий оболочки удалял конкурирующие вредоносные программы с уязвимого устройства, а затем загружал и устанавливал вредоносное ПО Kinsing, которое начнет добычу криптовалюты.
Устанавливались также ботнеты Mirai и Mustik.
Маяки Cobalt Strike тоже устанавливались через уязвимость.
Ну и, совсем уж очевидное – раскрытие информации.

Директор CISA Джон Истерли сделал официальное заявление по поводу Log4Shell, в котором он говорит, что в агенстве принимают срочные меры для устранения уязвимости и выявления любых связанных с ней угроз. Также уязвимость добавлена в каталог известных эксплуатируемых уязвимостей, что вынуждает федеральные гражданские агентства и их нефедеральных партнеров срочно устранять эту уязвимость.
Statement from CISA Director Easterly on “Log4j” Vulnerability | CISA

С помощью Log4Shell установился вымогатель Khonsari. Это первый зарегистрирированный случай, когда для загрузки шифровальщика использовалась уязвимость Log4Shell.
Однако проанализировав записку, оставленную злоумышленниками стало ясно, что, скорее всего, это не вымогатель, а, так называемый “очиститель”, ведь контактные данные, указанные в записке принадлежат владельцу антикварного магазина в Луизиане.

В ответ на заявление гоподина Истерли (11 декабря) компании начали проверку и уже через три дня отчитались о результатах.

• Adobe определила, что ColdFusion 2021 уязвима для Log4Shell, и устранила угрозу безопасности в обновлении, выпущенном 14 декабря.
• Amazon обновила несколько своих продуктов, чтобы использовать неуязвимую версию компонента Log4j, и объявила, что либо находится в процессе обновления других, либо вскоре выпустит новые версии. Компания опубликовала подробную информацию о затронутых сервисах, среди которых OpenSearch, AWS Glue, S3, CloudFront, AWS Greengrass и API Gateway.
  
  Update for Apache Log4j2 Security Bulletin (CVE-2021-44228)
• Основываясь на соственных проверках, Atlassian считает, что никакие локальные продукты не уязвимы для использования в их конфигурации по умолчанию. Однако изменение конфигурации ведения журнала по умолчанию (log4j.properties) для включения функциональности JMS Appender может привести к риску удаленного выполнения кода в некоторых продуктах, таких как Jira Server & Data Center, Confluence Server & Data Center, Bamboo Server & Data Center, Crowd Server & Дата-центр, Fisheye и Crucible.
• Broadcom опубликовала статьи по смягчению последствий для нескольких продуктов Symantec, затронутых уязвимостью Log4j. К ним относятся CA Advanced Authentication, Symantec SiteMinder (CA Single Sign-on), VIP Authentication Hub и Symantec Endpoint Protection Manager (SEPM).
  
  Broadcom Support Portal
• Cisco опубликовала список своих продуктов, на которые влияет Log4Shell, а также календарь исправлений некоторых из них, начиная с 14 декабря.
  
  Затронутые продукты относятся к разным категориям, включая следующие:
  • Устройства безопасности сети и контента (Identity Services Engine, Firepower Threat Defense, Advanced Web Security Reporting Application)
  • Совместная работа и социальные сети (Cisco Webex Meetings Server)
  • Управление сетью и подготовка (администратор Cisco CloudCenter Suite, диспетчер сети центра обработки данных, Центр управления IoT, оркестратор сетевых служб, механизм автоматизации WAN)
  • Маршрутизация и коммутация предприятия (Cisco Network Assurance Engine и Cisco SD-WAN vManage)
• Исправленный пакет Log4j был добавлен в Debian 9 (Stretch), 10 (Buster), 11 (Bullseye) и 12 (Bookworm) в качестве обновления безопасности, говорится в сообщении.
  
  CVE-2021-44228
• Было обнаружено, что дюжина официальных образов Docker использует уязвимую версию библиотеки Log4j. В список входят couchbase , elasticsearch , logstash , sonarqube и solr . Docker сообщает, что он «находится в процессе обновления Log4j 2 в этих образах до последней доступной версии» и что образы могут быть неуязвимы по другим причинам.
  
  Apache Log4j 2 CVE-2021-44228 - Docker Blog
• Сообщение IBM по поводу Log4Shell говорит, что только версии WebSphere Application Server 9.0 и 8.5 были подвержены уязвимости, с помощью консоли администратора и компонентов UDDI реестра приложений, а также о том, что проблема была решена.
  
  Security Bulletin: Vulnerability in Apache Log4j affects WebSphere Application Server (CVE-2021-44228) - IBM PSIRT Blog
• Oracle заявила, что «ряд» ее продуктов, не раскрывая, какие и сколько, используют уязвимую версию компонента Log4j. Компания направила своих клиентов к My Oracle Support Document и выпустила предупреждение системы безопасности с настоятельной рекомендацией применить предоставленные обновления «как можно скорее».
  
  https://www.oracle.com/security-alerts/alert-cve-2021-44228.html
• OWASP в информационное сообщении рассказал, что версии сканера веб-приложений Zed Attack Proxy (ZAP) ниже 2.11.1 используют уязвимый компонент Log4j.
  
  ZAP and Log4Shell
• Компоненты в нескольких продуктах Red Hat подвержены влиянию Log4Shell, организация сообщила, что настоятельно рекомендует клиентам применять обновления, как только они станут доступны. Среди продуктов, перечисленных в рекомендациях, - Red Hat OpenShift 4 и 3.11, OpenShift Logging, OpenStack Platform 13, CodeReady Studio 12, Data Grid 8 и Red Hat Fuse 7.
  
  RHSB-2021-009 Log4Shell - Remote Code Execution - log4j (CVE-2021-44228) - Red Hat Customer Portal
• Компания обнаружила, что несколько продуктов уязвимы для Log4Shell. Проблема была исправлена в некоторых продуктах, в то время как для других проводятся тесты для долгосрочного решения. Клиентам рекомендуется обновить программное обеспечение Siemens до последней версии или применить обходные пути и меры по снижению рисков, указанные компанией в своих рекомендациях, а также следовать общим рекомендациям по безопасности.
  
  https://cert-portal.siemens.com/productcert/pdf/ssa-661247.pdf
• Два продукта SolarWinds используют уязвимую версию Apache Log4j: Server & Application Monitor (SAM) и Database Performance Analyzer (DPA). Однако оба продукта используют версию Java Development Kit (JDK), которая либо не подвержена уязвимости Logj4, либо снижает риск.
• VMware устранила уязвимость в нескольких своих продуктах, уязвимых для атак Log4Shell, и продолжает работу над выпуском исправлений для еще 27 продуктов. В сообщении, которое последний раз обновлялось 24 декабря, компания перечисляет 64 своих продукта, подверженных критической уязвимости. Многие из них ещё ожидают исправления, а в некоторых случаях доступны меры по устранению уязвимости.
  
  https://www.vmware.com/security/advisories/VMSA-2021-0028.html
• Пакет Log4j был исправлен в Ubuntu, и обновление поступало в Ubuntu 18.04 LTS (Bionic Beaver), 20.04 LTS (Focal Fossa), 21.04 (Hirsute Hippo) и 21.10 (Impish Indri).

Microsoft обновила свой отчёт, в котором добавила, что во время исследования была обнаружена активность APT-группировок, эта деятельность варьировалась от различных экспериментов, интеграции уязвимости до развертывания полезной нагрузки в реальных условиях и эксплуатации против целей для достижения собственных целей. Страны, которые были замечены: Китай, Иран, Северная Корея, Турция. Кроме того, Microsoft добавила, что засекла инциденты с установкой шифровальщиков.

Некоторые злоумышленники, использующие уязвимость Apache Log4j, переключились с URL-адресов обратного вызова LDAP на RMI или даже использовали оба в одном запросе для максимальных шансов на успех. Этот сдвиг явился заметным событием в атаке. Большинство атак, нацеленных на уязвимость Log4j «Log4Shell», осуществлялись через службу LDAP (облегченный протокол доступа к каталогам). Переход на RMI (Remote Method Invocation) API сначала кажется нелогичным, учитывая, что этот механизм подвергается дополнительным проверкам и ограничениям, но это не всегда так. Некоторые версии JVM (виртуальная машина Java) не содержат строгих политик, и поэтому RMI иногда может быть более простым каналом для достижения RCE (удаленное выполнение кода), чем LDAP. Более того, запросы LDAP уже были закреплены как часть цепочки заражения и стали более тщательно контролироваться защитниками. Например, многие инструменты IDS / IPS фильтровали запросы с помощью JNDI и LDAP, поэтому есть вероятность, что RMI на этом этапе может быть проигнорирован.

Примерно в то же время были обнаружены свидетельства использования Log4Shell для заражения майнером Monero.

Вот и пересеклись дорожки. Conti стала использовать Log4Shell для взлома серверов VMware vCenter.

Log4Shell стали использовать для распространения шифровальзиков из, как многие думали, неактивного семейства TellYouThePass. Целями являются как Windows устройства, так и Linux.

Уязвимость Denial of Service (DoS) была найдена в версии Log4j 2.16, но к счастью почти в это же время была выпущена версия 2.17. Изначально считалось, что эта уязвимость совершенно не представляет опасности, однако от этого мнения быстро отказались, ведь если по какой-либо причине будет предпринята попытка подстановки “$ {$ {:: - $ {:: - $$ {:: - j}}}}” в строке, это вызовет бесконечную рекурсию, и приложение выйдет из строя.

Добрались наконец до банковских троянов! Dridex также научился пользоваться эксплойтом и получил, можно сказать, нову жизнь. Вредоносное ПО Dridex - это банковский троян, изначально разработанный для кражи учетных данных онлайн-банкинга у жертв. Однако со временем вредоносная программа превратилась в загрузчик, который загружает различные модули, которые могут использоваться для выполнения различного вредоносного поведения, такого как установка дополнительных полезных нагрузок, распространение на другие устройства, создание снимков экрана и т.д.

CISA выпустила сканер веб-приложений на предмет уязвимости Log4Shell. Выделяется следующий функционал:

• поддержка списков URL-адресов;
• фаззинг для более чем 60 заголовков HTTP-запросов (а не только 3-4 заголовков, как другие инструменты);
• фаззинг для параметров HTTP POST Data;
• фаззинг для параметров данных JSON;
• поддерживает обратный вызов DNS для обнаружения и проверки уязвимостей;
• полезные данные обхода WAF.

Министерство внутренней безопасности (DHS) объявило, что программа «Hack DHS» теперь также открыта для охотников за ошибками, желающих отслеживать системы DHS, затронутые уязвимостями Log4j.

Сканер Microsoft Defender выдаёт ложные срабатывания якобы на проникновение Log4Shell. Чаще всего это происходит на серверах Windows Server 2016.

В самой, на тот момент, новой версии Log4j (2.17) была обнаружена очередная RCE-уязвимость и исправлена в версии 2.17.1.

Одна из крупнейших вьетнамских платформ для торговли криптовалютой, ONUS, подверглась кибератаке на ее платежную систему с уязвимой версией Log4j. Достаточно скоро злоумышленники обратились в ONUS с просьбой заплатить сумму в 5 миллионов долларов и пригрозили опубликовать данные о клиентах, если ONUS откажется подчиниться. После отказа компании заплатить выкуп злоумышленники выставили на форумах данные о почти 2 миллионах клиентов ONUS.
Злоумышленники утверждают, что у них есть копии 395 таблиц базы данных ONUS с личной информацией клиентов и хеш-паролями.
Образцы также включали неотредактированные изображения удостоверений личности клиентов, паспортов и предоставленные клиентами видеоклипы для селфи, полученные в процессе подтверждения личности.

Вот и всё. На данный момент это всё, что мне удалось найти про Log4Shell. Почему я вдруг решил об этом написать? Пожалуй по той причине, что я давно хотел написать что-то объёмное и не особо касающееся новостей. Надеюсь получилось читаемо и интересно. Если так, то я продолжу и следующей в подобом формате выйдет статья о Conti. А сейчас я пойду рисовать обложку для статьи и публиковать её. Перед уходом хотелось бы поздравить всех с наступающим новым годом и пожелать всего информационного, технологичного и безопасного, за сим откланяюсь.

Ооо Морти почитаю)

Вообще не техническая статья , а пересказ хронологии