Спецпроекты

Безопасность Бизнес Техника

В огромную «дыру» в Apache ринулись шифровальщики, криптомайнеры и ботнеты

Новая уязвимость в распространенной утилите Apache Log4j привлекла повышенное внимание киберпреступников. Ботнеты, криптомайнеры, шифровальщики уже вовсю эксплуатируют Log4Shell.

Все промелькнули перед нами, все побывали тут

Обнаруженная в середине декабря 2021 г. уязвимость в библиотеке Log4j CVE-2021-44228 (Log4Shell) быстро привлекла внимание киберкриминала: ряд шифровальных группировок начали ее активно эксплуатировать, и уже появились первые жертвы.

Как только был опубликован эксплойт к Log4Shell, в Сети началось повальное сканирование уязвимых серверов. Эксплойт начали приспосабливать к делу многочисленные криптомайнеры и ботнеты, такие как Kinsing.

Log4j — это Java-библиотека для сбора логов, используемый огромным количеством различных сетевых сервисов, включая корпоративные и облачные.

Компания BitDefender обнаружила шифровальщик Khonsari, который устанавливался через эксплуатацию уязвимости Log4Shell. При этом в сообщение с требованием выкупа шифровальщика нет никаких контактных данных его операторов, что исключает возможность восстановления доступа к зашифрованным файлам. Это означает, что Khonsari — не столько шифровальщик, сколько вайпер.

haker_600.jpg
Уязвимость Log4Shell активно эксплуатируется киберкриминалом

Частные серверы игры Minecraft, по данным экспертов по безопасности Microsoft, также начали подвергаться атакам со стороны шифровальшика Khonsari. Любопытно, что уязвимые серверы Minecraft были обнаружены в некоторых корпоративных сетях и становились точкой входа для вредоносного ПО: злоумышленники устанавливали туда обратные шеллы.

Шифровальная группировка Conti на днях начала использовать эксплойт этой уязвимости для получения доступа к серверным установкам VMwarev Center Server и принялась шифровать виртуальные машины.

Уязвимость Log4Shell также вернула к жизни старый и не слишком активный шифровальщик TellYouThePass, нацеленный на системы под Windows и Linux. Его активность резко возросла сразу же после выхода эксплойта к уязвимости.

По данным Curated Intelligence, в этот раз основная часть атак была направлена на цели в Китае.

В 2020 г. операторы TellYouThePass активно использовали в своих атаках другую печально знаменитую уязвимость — EternalBlue.

Новый вектор и «продолжение следует...»

Эксперты по безопасности компании Blumira объявили, что обнаружили совершенно новый вектор атаки на уязвимость Log4Shell. Используя соединение Java Script Web Socket, потенциальный злоумышленник может с легкостью воспользоваться уязвимостью. По мнению специалистов Blumira, пользователям уязвимых систем достаточно зайти на специально скомпрометированный сайт, чтобы данная уязвимость сработала.

Свидетельств активной эксплуатации этого вектора пока нет, но, как считают в Blumira, он существенно увеличивает потенциальную поверхность атаки и «может сказываться на службах, даже работающих как localhost, без доступа к каким бы то ни было внешним сетям».

Уязвимость Log4Shell позволяет запускать произвольный код без авторизации. Проблема затрагивает все версии утилиты Apache Log4j с 2.0-beta9 по 2.14.1. Под угрозой — базовые конфигурации ApacheStruts2, Apache Solr, Apache Druid, Apache Flink и другие разработки Apache Software Foundation.

ASF выпустил уже три патча к Log4Shell, поскольку помимо исправлений первое и второе обновления — 2.15.0 и 2.16.0 — вносили дополнительные и очень серьезные ошибки. Последней и рекомендуемой к установке является обновление 2.17.0.

«Скорее всего, от желающих воспользоваться уязвимостью не будет отбоя, особенно учитывая, как легко ее эксплуатировать, и дело не ограничится шифровальщиками, криптомайнерами и ботнетами, — считает Анастасия Мельникова, директор по информационной безопасности компании SEQ. — Успешная высокопрофильная атака с использованием Log4Shell, вероятнее всего, вопрос ближайшего времени».

Роман Георгиев

Короткая ссылка