Хакеры активно используют уязвимость Log4Shell для установки вредоносов

Киберпреступники активно ищут и эксплуатируют критическую уязвимость Log4Shell ( CVE-2021-44228 ) в платформе логирования Apache Log4j на базе Java для установки вредоносных программ. Уязвимость позволяет злоумышленникам удаленно выполнить код на уязвимом сервере, просто выполнив поиск или изменив пользовательский агент браузера на специальную строку.

Как только уязвимость была обнаружена, злоумышленники использовали проблему для выполнения shell-скриптов для загрузки установки криптомайнеров. Shell-скрипт удаляет конкурирующие вредоносные программы с уязвимого устройства, а затем загружает и устанавливает вредоносное ПО Kinsing для майнинга криптовалюты.

Как сообщили специалисты Netlab 360, хакеры с помощью Log4Shell устанавливают вредоносные программы Mirai и Muhstik на уязвимые устройства. Семейства вредоносных программ устанавливают криптомайнеры и позволяют выполнять крупномасштабные DDoS-атак. Зафиксированный экспертами атаки были направлены на устройства под управлением Linux.

По словам специалистов из Microsoft Threat Intelligence Center, уязвимость в Log4j также использовалась для установки маячков Cobalt Strike.

Однако уязвимость эксплуатируется не только для установки вредоносов. Злоумышленники и исследователи в области безопасности используют эксплоит для сканирования Сети на предмет уязвимых серверов и получения информации о них. Уязвимые серверы можно заставить обращаться к URL-адресам или выполнять DNS-запросы для доменов обратного вызова. Это позволяет определить, является ли сервер уязвимым, и использовать его для будущих атак, исследований или попыток получить выплату в рамках программы за обнаружение уязвимостей.

В настоящее время не были зафиксированы случаи эксплуатации уязвимости вымогательскими или APT-группировками, однако факт развертывания маяков Cobalt Strike указывает на предстоящее вредоносные кампании.

Пользователем настоятельно рекомендуется обновиться до последней версии Log4j с целью как можно скорее исправить уязвимость.

Кроме того, исследователи из ИБ-фирмы Cybereason разработали « вакцину », которую можно использовать для удаленного устранения критической уязвимости Log4Shell. Хотя Apache быстро выпустила исправленную версию Log4j 2.15.0 для устранения уязвимости, уязвимость очень легко использовать для осуществления кибератак.

«Вакцина» отключает настройки в удаленном уязвимом экземпляре Log4Shell. По сути, вакцина устраняет уязвимость, эксплуатируя уязвимый сервер. Проект под названием Logout4Shell содержит полезную нагрузку Java, которая отключает параметр trustURLCodebase на удаленном сервере Log4j.