マイクロソフトは今週、脅威アクターがApache Log4jロギングフレームワークで最近発見されたリモートコード実行(RCE)の脆弱性を利用して、さまざまな攻撃を実行する可能性が高いことを組織に警告しました。
同社によれば、セキュリティ研究者は、XNUMX月の最後の数週間に欠陥を狙った大量のスキャン活動と悪用の試みを観察したとのことです。
国民国家の攻撃者やランサムウェアグループを含む多くの攻撃グループは、攻撃キットに脆弱性のエクスプロイトを追加し、それらを使用してリバースシェルを確立し、リモートアクセスツールキットをドロップし、脆弱なシステムに対してハンズオンキーボード攻撃を実行しています。 MicrosoftがLog4jの欠陥を介して展開されていることを確認したバックドアとリバースシェルには、Bladabindi、HabitsRAT、Meterpreter、Cobalt Strike、PowerShellが含まれます。
「この時点で、顧客はエクスプロイトコードとスキャン機能の幅広い可用性が実際の環境に危険をもたらすと想定する必要があります」とMicrosoftのセキュリティグループは月曜日に ブログエントリに更新 同社は11月XNUMX日に最初に投稿しました。「組織は、環境がすでに侵害されている可能性があることに気付いていない可能性があります。」
Apache Log4jは、Javaアプリが使用されるほとんどすべての環境に存在する、広く使用されているオープンソースのログコンポーネントです。 これには、インターネットに接続するサーバー、バックエンドシステムとネットワークコンポーネント、サードパーティアプリケーション、それらのアプリケーションを使用するサービス、クラウド環境、および産業用制御システムとSCADAシステムが含まれます。
9月XNUMX日、Apache Software Foundationは重要なRCEを開示しました(CVE-2021-44228)脆弱なシステムを完全に制御するための比較的簡単な方法を攻撃者に与えたコンポーネントの脆弱性。 この開示により、広範なスキャンアクティビティとエクスプロイトの試みのために、組織がLog4jバージョンを迅速に更新する必要があるというセキュリティ専門家からの広範な懸念と緊急の警告が発生しました。 最初の欠陥が開示されてから4週間も経たないうちに、ApacheFoundationはLogXNUMXjのXNUMX番目の欠陥を開示しました(CVE-2021-45046)そして数日後、XNUMX番目のもの(CVE-2021-45105).
この欠陥が広く蔓延していること、そしてそれを簡単に悪用できることは、さまざまな脅威アクターの関心を集めています。 最初の欠陥が開示されてから数週間で、多くのベンダーがランサムウェアのオペレーターを監視していると報告しています。 暗号通貨マイナー; イラン、トルコ、中国などの国の国民国家関係者。 欠陥を悪用しようとしている他の人。
欠陥の悪用が確認されているAdvancedPersistentThreat(APT)アクターには、昨年、いわゆるProxyLogonのExchangeServerの欠陥セットに対してゼロデイ攻撃を実行した中国を拠点とするHafniumグループが含まれます。 Log4jの欠陥を悪用する他のAPTアクターには、イランのランサムウェアオペレーターであるPhosphorousや、中国を拠点とするアクターであるAquaticPandaが含まれます。 クラウドストライクは阻止した 最初の欠陥が明らかにされてから数日後、大規模な学術組織に対する標的型攻撃の最中に。
クラウドストライクの研究者は、その攻撃で、攻撃者が被害者の組織のWindowsホストでLinuxコマンドを実行しようとしたことを観察しました、とクラウドストライクのFalconOverWatch脅威ハンティングサービスのバイスプレジデントであるParamSinghは言います。 Linuxコマンドの実行に失敗すると、攻撃者はすぐにWindowsネイティブサービスまたはいわゆるLiving Off-the Landバイナリ(LOLBins)の使用に移行しました。
この振る舞いは、オーバーウォッチの脅威ハンターにとって際立っていたとシン氏は言います。 「脅威アクターがLinuxコマンドからWindowsLOLBinsを活用するために使用した迅速な操作と戦術の変更は、日和見的なスクリプトによる攻撃ではなく、インタラクティブなハンズオンキーボードアクティビティを示しています。」
広範なスキャン活動が続く
Microsoftによると、スキャンアクティビティは、これまでに観察された攻撃トラフィックのほとんどを占めています。 活動の多くは、セキュリティ研究者やネットワークの欠陥を探しているレッドチームによるもののようです。 しかし、欠陥をスキャンしているのは、Miraiのようなボットネットのオペレーター、脆弱なElasticsearchシステムを標的にして暗号通貨マイナーを展開する攻撃者、LinuxシステムにTsunamiバックドアを展開しようとしている攻撃者などの脅威アクターです。
これらのキャンペーンの多くでは、攻撃者は脆弱なWindowsシステムとLinuxシステムの両方に対して同時スキャンを実行しています。 攻撃者は、JDNI:ldap://に含まれているBase 64コマンドを使用して、Linuxシステムではbashコマンドを起動し、WindowsではPowerShellを起動しているとMicrosoftは述べています。
マイクロソフトおよび他の多くのセキュリティ専門家は、組織にスキャンツールとスクリプトを展開して、環境内のLog4jの脆弱性を特定するように求めています。 しかし、Javaパッキングの仕組みにより、この脆弱性はアプリケーションの奥深くに数層埋め込まれ、スキャナーからは簡単に見えない可能性があるとセキュリティ専門家は述べています。
レジリオンたとえば、最近、複数のオープンソースおよび商用スキャンツールをテストして、Log4jがネストされてさまざまな形式でパックされたJavaファイルの検出にどれほど効果的かを確認しました。 テストしたスキャンツールには、Google、Palantir、Aqua Security、Mergebase、およびJFrogのツールが含まれていました。 この演習では、一部のスキャナーは他のスキャナーよりも優れていましたが、すべての形式でLog4jを検出できたスキャナーはXNUMXつもなかったことが示されました。
Rezilionのテスト以来、JFrogとMergebaseはツールを更新しました、とRezilionの脆弱性調査リーダーであるYotamPerkalは言います。
「MergebaseはPAR形式のサポートを追加し、JFrogはPARとZIPのサポートを追加し、シェーディングされたJARのサポートを改善しました」と彼は述べています。 「正確な見積もりを出すのは難しいですが、ネスト/埋め込みは開発者の間で一般的な方法であり、ほとんどの本番環境でネストされたjarが見られるため、インスタンスが検出されない可能性が高くなります。」
