Jen Easterly, direktur Cybersecurity and Infrastructure Security Agency (CISA), menyatakan dalam sebuah wawancara berita publik bahwa kelemahan Log4j yang sekarang terkenal adalah “kerentanan paling serius yang [dia] lihat dalam karirnya.” Tidak berlebihan untuk mengatakan bahwa seluruh industri keamanan akan setuju.
Desember 2021 akan dilihat kembali dengan sedikit trauma dan ketakutan bagi responden insiden, administrator sistem, dan praktisi keamanan. Anda semua mungkin sudah tahu— pada tanggal 9 Desember, kerentanan eksekusi kode jarak jauh ditemukan di pustaka pemrograman bernama Log4j, yang hampir ada di mana-mana di aplikasi dan perangkat lunak Java yang digunakan di seluruh internet.
Rasanya kerentanan ini terpengaruh, yah, semuanya. Selain itu, sangat sulit untuk menentukan aplikasi apa yang rentan, dan dari titik masuk apa.
Kerentanan menjadi berita utama dan artikel berita dengan detail tentang ancaman dirilis ke kiri dan kanan. Vendor keluar dari kayu—beberapa menjelaskan bagaimana mereka terpengaruh, beberapa membantu komunitas dengan sumber daya gratis—dan yang lain untuk mempromosikan produk mereka dan memanfaatkan kekacauan. Sementara muatan dan teknik bypass dibagikan oleh penyerang, kemampuan deteksi dan alat pemindaian dibagikan oleh pertahanan. Mengikuti jumlah informasi tentang kerentanan Log4shell terasa seperti minum dari firehose.
Tapi Anda sudah tahu semua itu. Kami bahkan hanya menambah kebisingan dengan artikel ini di sini.
Jadi mari kita bicara tentang sesuatu yang lain.
Di mana Eksploitasinya?
Meskipun aura "langit runtuh" di komunitas keamanan informasi selama minggu-minggu Log4Shell ditemukan, industri melihat mengejutkan beberapa serangan skala besar dibandingkan dengan apa yang kami harapkan. Ini sangat beruntung.
Kami sebagai pemain bertahan terbang di dekat tempat duduk kami—bekerja untuk mengukur permukaan serangan, bagaimana mendeteksi, mengurangi, menambal dan memahami apa sebenarnya ancaman ini. Ternyata, penyerang melakukan hal yang sama, mengacak dan mencari tahu saat mereka pergi. Serangan dan pertahanan bekerja untuk tetap selangkah lebih maju dari pihak lain.
Meskipun ada lebih sedikit pembantaian dan kehancuran dari yang kami harapkan, itu tidak berarti tidak ada. Kami melihat bagian kami yang adil dari server VMware Horizon yang disusupi, bersama yang lain di industri.
Setelah mengeksploitasi Log4j untuk akses awal, pelaku ancaman akan menggunakan pekerjaan biasa mereka: memasang kegigihan untuk mempertahankan akses, bersembunyi, dan berdiam di lingkungan (kami telah melihat indikator web-shell sejak 23 Desember ketika industri mengetahui hal ini sekitar 10 Januari), dan melanjutkan tindakan pada tujuan.
Untuk beberapa, tujuannya adalah lebih lanjut pasca-eksploitasi dan kompromi dengan perkakas seperti Cobalt Strike. Lebih sering daripada tidak, aktivitas jahat yang kami temukan adalah menyalahgunakan kekuatan dan sumber daya sistem untuk menambang cryptocurrency.
Contoh singkat menyoroti deteksi yang ditangkap oleh Windows Defender: perintah PowerShell mengunduh dan mengeksekusi kode yang ada di 80.71.158[.]96/ xms.ps1 (pada saat penulisan, tautan ini masih menyajikan malware).
Skrip xm.ps1 yang diambil berbunyi sebagai berikut:
Anda dapat melihatnya menonaktifkan firewall dan mengeksekusi biner baru untuk penambang XMRig. Ini membuat tugas terjadwal dan entri autorun baru agar ini berjalan secara konsisten. Berkat vektor akses awal dari kerentanan Log4j di server VMware Horizon, operator menjalankan perintah di bawah konteks pengguna "NT AUTHORITYSYSTEM": pemilik mutlak dan administrator perangkat.
Mempertahankan akses tingkat SISTEM ini selesai oleh web shell yang dikerahkan, sering dalam bentuk yang terlihat di bawah ini.
Shell web memungkinkan penyerang untuk mengontrol kotak ini dari jarak jauh dari mana saja di dunia. Perintah yang dijalankan melalui web shell ini masih dieksekusi di bawah konteks NT AUTHORITYSYSTEM (hak istimewa tingkat root).
Log4j Membuka Pintu
Kerentanan CVE-2021-44228 Log4j menawarkan akses awal, yang berarti peretas kemudian dapat melakukan semua gangguan, degradasi dan potensi kehancuran yang mereka inginkan. Digabungkan dengan kerentanan dan teknik eksploitasi lainnya, bahkan lebih banyak kerusakan dapat terjadi.
Salah satu kerentanan baru-baru ini, bug "PwnKit" CVE-2021-4034 yang memengaruhi utilitas pkexec PolKit, perlu diperhatikan. Ini hadir di sejumlah besar distribusi Linux, dan akan dengan mudah meningkatkan pengguna dengan hak istimewa rendah ke akses root dan administrator. Mempersenjatai kerentanan Log4j sepele untuk akses awal, serta kerentanan pkexec sepele untuk eskalasi hak istimewa, dapat membuat kompromi massal yang mudah dari server Linux jika mereka tidak ditambal. prioritas. Dalam kasus Log4j, beberapa individu berpikir bahwa menggunakan versi terbaru Java (penerjemah bahasa itu sendiri), daripada perpustakaan Log4j individu sudah cukup. Ini dengan cepat dibantah, dan rantai serangan dibuat tersedia untuk umum di proyek JNDI-Exploit-Kit di GitHub.
Just menambahkan dukungan ke LDAP Serialized Payloads di JNDI-Exploit-Kit. Jalur serangan ini berfungsi di APAPUN versi java selama kelas yang digunakan dalam muatan Berseri berada di jalur kelas aplikasi. Jangan mengandalkan versi java Anda yang terbaru dan perbarui log4j Anda secepatnya! pic.twitter.com/z3B2UolisR
— Márcio Almeida (@marcioalm) 13 Desember 2021
Jika pustaka Log4 yang rentan tidak ditambal, masih ada risiko, bahkan jika akses awal tidak memungkinkan. Sintaks yang digunakan untuk melakukan serangan bergantung pada koneksi keluar, menjangkau melalui protokol LDAP untuk mengambil kelas Java yang dihosting di tempat lain. Dalam permintaan koneksi keluar ini, penyerang dapat mengekstrak informasi sensitif yang berpotensi disimpan dalam variabel lingkungan.
Jaringan yang dihosting berbasis cloud atau sistem produksi lain mungkin menyimpan rahasia atau token akses dalam variabel lingkungan ini. Jika rahasia seperti AWS_SECRET_ACCESS_KEY di Amazon Web Services dibocorkan, aktor ancaman kemudian dapat memungkinkan diri mereka untuk berkompromi lebih banyak lagi.
Jadi Apa Sekarang?
Sementara industri keamanan siber bergerak melalui awal tahun 2022, mimpi buruk Log4j hanyalah insiden lain yang membuat kami ingin mengucapkan selamat tinggal dan selamat tinggal hingga tahun 2021. Tapi itu belum cukup di kaca spion dulu.
Ingat ketika kami berpikir bahwa, setelah menerapkan satu atau dua tambalan, kerentanan Microsoft Exchange sebelumnya ProxyLogon akan hilang? Namun dalam sekejap, aktor ancaman melemparkan ProxyShell ke seluruh dunia kita, mengejutkan banyak orang. Dan sementara ProxyShell/ProxyLogon akhirnya tidak begitu signifikan seperti Log4shell, kerentanan ini masih membuktikan bahwa pelaku ancaman suka mendaur ulang dan menaikkan level ancaman yang baik kapan pun mereka bisa.
Mempertimbangkan seberapa dalam penggunaan paket Log4j dapat tertanam dalam aplikasi , kerentanan ini dapat terus muncul selama bertahun-tahun yang akan datang. Sama seperti bug Shellshock lama, beberapa vendor atau penyedia perangkat lunak mungkin bahkan tidak mengetahui masalah tersebut sampai ditemukan secara eksternal di suatu tempat. liburan akhir pekan). Saat kami melanjutkan tahun ini, sebaiknya perhatikan kaca spion samping itu—untuk berjaga-jaga.
John Hammond adalah peneliti keamanan senior di Huntress.
Nikmati wawasan tambahan dari komunitas Infosec Insider Threatpost dengan mengunjungi situs mikro kami.
Tulis komentar
Bagikan artikel ini :
- iKeamanan Web
