Apache Software Foundation випустила патчі, щоб закрити вразливість нульового дня, що стосується бібліотеки ведення журналів Apache Log4j на основі Java. Ця вразливість може бути використана для виконання шкідливого коду і забезпечення повного захоплення вразливих систем.
Зловмисники активно використовують не виправлені сервери, скомпрометовані нещодавно виявленою вразливістю Log4Shell Log4j, для установки майнерів криптовалюти, Cobalt Strike і рекрутування пристроїв в ботнет. Цікавим фактом є те, що публічною вразливість стає тільки після 9-10 днів, як її було використано.
Netlab, підрозділ мережевої безпеки китайського технологічного гіганта Qihoo 360, виявив, що такі загрози, як Mirai та Muhstik (також відомі як Tsunami), націлені на вразливі системи, щоб поширити інфекцію і збільшити свої обчислювальні потужності для DDoS-атаки та зробити систему непридатною для використання. Раніше у вересні Muhstik був помічений у використанні критичної вразливості безпеки Atlassian Confluence (CVE-2021-26084, оцінка CVSS: 9,8).
Остання технологія з’явилася після того, як з’ясувалося, що вразливість використовувалася понад тиждень до її публічного розкриття 10 грудня, і такі компанії, як Auvik, ConnectWise Manage та N-able, підтвердили, що їхні продукти та послуги зазнали впливу.
«Нам вдалось знайти першу фіксацію експлойту Log4j, — 2021-12-01, 04:36:50 UTC», — написав у неділю генеральний директор Cloudflare Метью Прінс. «Це свідчить проте, що його було випущено принаймні за дев’ять днів до публічного розкриття. Свідчень масової експлуатації не спостерігається до моменту публічного розкриття інформації». У незалежному звіті Cisco Talos сказано, що з 2 грудня спостерігалася активність зловмисників, пов’язана з вразливістю.
Вся ця ситуація змусила вендорів щосили намагатися виправити помилку. Виробник мережевої безпеки SonicWall у своєму офіційному зверненні повідомив, що його рішення для захисту електронної пошти вразливе. Однак, команда фахівців вже працює над випуском патча для цієї вразливості, а також вони перевіряють інші свої продукти. Постачальник технологій віртуалізації VMware також випускає виправлення для своїх продуктів.
Вразливість CVE-2021-22448 (оцінка за CVSS: 10,0) стосується випадку віддаленого виконання коду в Log4j, Java-інфраструктурі з відкритим вихідним кодом для ведення журналів Apache, що широко використовується в додатках корпоративних середовищ для запису подій та повідомлень.
Все, що потрібно від зловмисника для використання вразливості, — це відправити спеціально створений рядок, що містить шкідливий код, який реєструється в Log4j версії 2.0 або вище, що дозволяє зловмиснику завантажувати довільний код з домену, яким він управляє, на вразливий сервер та взяти на себе керування.
Залежно від характеру вразливості, коли зловмисник отримує повний доступ і контроль над програмою, він може виконувати безліч завдань. Зокрема, технічний гігант з Редмонда заявив, що він виявив безліч шкідливих дій, включаючи установку Cobalt Strike для забезпечення можливості крадіжки облікових даних та бокового переміщення, розгортання майнерів монет та вилучення даних зі зламаних машин.
У всякому разі, подібні інциденти ілюструють, як один єдиний експлойт, виявлений у пакетах, включених у безліч програм, може мати хвильові ефекти, виступаючи як канал для подальших атак та створюючи критичний ризик для порушених систем.
Рекомендації від спеціалістів CoreWin
Сканер вебвразливостей Acunetix дозволить зараз на практиці перевірити наявність вразливості та підтвердити її. А якщо ви користувач DeviceTotal by ArcusTeam – вже в першому кварталі 2022 вендор додасть функціонал, який допоможе дізнатись про таку вразливість ще до того, як вона стане публічно відомою.
