مایکروسافت نسبت به ادامهی تلاشهای مهاجمانِ تحت حمایت دولتها و دیگر هکرها برای استفاده از آسیبپذیریهای امنیتی کشفشده در logging framework منبع بازِ Log4j برای استقرار دژافزار در سیستمهای آسیبپذیر هشدار داد.
مرکز اطلاعات تهدید مایکروسافت (MSTIC) در دستورالعمل اصلاحشدهای که در اوایل این هفته منتشر شد، گفت[۱]: “تلاشها و آزمایشهای بهرهبرداری در هفتههای آخر دسامبر همچنان بالا بوده است. بسیاری از مهاجمان موجود را مشاهده کردهایم که بهرهبرداری از این آسیبپذیریها را در کیتها و تاکتیکهای دژافزار موجود خود اضافه میکنند، از استخراجکنندگان ارزهای دیجیتال گرفته تا حملات hands-on-keyboard.”
آسیبپذیری اجرای کد از راه دور (RCE) در Apache Log4j 2، با نام مستعار Log4Shell، که توسط بنیاد نرمافزار آپاچی در ۱۰ دسامبر ۲۰۲۱ بهطور عمومی افشا شد[۲]، بهعنوان یک بردار حملهی جدید برای بهرهبرداری گسترده[۳] توسط انواع بازیگران تهدید پدیدار شده است.
در هفتههای بعدی، چهار نقطهضعف دیگر[۴-۷] در این ابزار آشکار شد؛ CVE-2021-45046، CVE-2021-45105، CVE-2021-4104 و CVE-2021-44832 که به بازیگران فرصتطلب امکان کنترل مداوم بر ماشینهای در معرض خطر را میدهد و مجموعهای در حال تکامل از حملات را از استخراجکنندگان ارزهای دیجیتال[۸] گرفته تا باجافزارها[۹] پیادهسازی میکند.
حتی باوجوداینکه تلاشهای اسکن انبوه هیچ نشانهای از پایان یافتن این حملات نشان نمیدهند، تلاشها برای فرار از تشخیصهای string-matching با مبهم کردن درخواستهای HTTP مخربی که برای ایجاد یک log درخواست وب با استفاده از Log4j تنظیم شدهاند، در حال انجام است که از JNDI برای انجام درخواست به یک سایت تحت کنترل مهاجم استفاده میکند.
علاوه بر این، مایکروسافت اعلام کرد که « uptakeسریع این آسیبپذیری را در باتنتهای موجود مانند Mirai، کمپینهای موجود که قبلاً سیستمهای آسیبپذیر Elasticsearch را برای استقرار استخراجکنندگان ارزهای دیجیتال هدف قرار میدادند و فعالیتهایی را که درب پشتی Tsunami را در سیستمهای لینوکس به کار میبردند [۱۰]، مشاهده کرده است».
علاوه بر این، آسیبپذیری Log4Shell نیز برای حذف ابزارهای دسترسی از راه دور اضافی و shellهای معکوس مانند Meterpreter، Bladabindi (معروف به NjRAT) و HabitsRAT استفاده شده است[۱۱-۱۳].
MSTIC خاطرنشان کرد: “در این مقطع، مشتریان باید در دسترس بودن گستردهی کد بهرهبرداری و قابلیتهای اسکن را بهعنوان یک خطر واقعی و فعلی برای محیطهایشان فرض کنند. با توجه به نرمافزارها و خدمات زیادی که تحت تأثیر قرارگرفتهاند و با توجه بهسرعت بهروزرسانیها، انتظار میرود که این امر دنبالهای طولانی برای اصلاح داشته باشد که نیازمند[۱۴] هوشیاری مداوم و پایدار است.”
این توسعه همچنین زمانی رخ داد که کمیسیون تجارت فدرال ایالاتمتحده (FTC) هشداری صادر کرد[۱۵] مبنی بر اینکه “در نظر دارد از اختیارات قانونی کامل خود برای تعقیب شرکتهایی استفاده کند که موفق نمیشوند گامهای معقولی برای محافظت از دادههای مصرفکننده در برابر قرار گرفتن در معرض Log4j یا آسیبپذیریهای شناختهشده مشابه در آینده بردارند.”
منابع
[۱] https://apa.aut.ac.ir/?p=8579
[۲] https://www.microsoft.com/security/blog/2021/12/11/guidance-for-preventing-detecting-and-hunting-for-cve-2021-44228-log4j-2-exploitation
[۳] https://apa.aut.ac.ir/?p=8517
[۴] https://apa.aut.ac.ir/?p=8559
[۵] https://apa.aut.ac.ir/?p=8543
[۶] https://apa.aut.ac.ir/?p=8564
[۷] https://apa.aut.ac.ir/?p=8579
[۸] https://apa.aut.ac.ir/?p=8552
[۹] https://apa.aut.ac.ir/?p=8546
[۱۰] https://malpedia.caad.fkie.fraunhofer.de/details/elf.tsunami
[۱۱] https://malpedia.caad.fkie.fraunhofer.de/details/win.meterpreter
[۱۲] https://malpedia.caad.fkie.fraunhofer.de/details/win.njrat
[۱۳] https://malpedia.caad.fkie.fraunhofer.de/details/win.habitsrat
[۱۴] https://twitter.com/MsftSecIntel/status/1475627081753112579
[۱۵] https://www.ftc.gov/news-events/blogs/techftc/2022/01/ftc-warns-companies-remediate-log4j-security-vulnerability
[۱۶] https://thehackernews.com/2022/01/microsoft-warns-of-continued-attacks.html
ثبت ديدگاه