Бесплатно Экспресс-аудит сайта:

15.12.2021

Уязвимостью в Log4j заинтересовались китайские APT

Уязвимость в утилите журналирования Log4j от Apache Software Foundation ( CVE-2021-44228 ), обнаруженная китайским исследователем p0rz9, уже начали эксплуатировать китайские же киберпреступники.

Уязвимость удаленного выполнения кода под названием Log4Shell получила максимальную оценку в 10 баллов по шкале CVSSv3, поскольку ее можно эксплуатировать удаленно, и особых технических навыков для этого не требуется. Критическая опасность связана с повсеместным присутствием утилиты Log4j почти во всех основных корпоративных приложениях и серверах на базе Java. Проблема затрагивает версии log4j между 2.0-beta-9 и 2.14.1. Уязвимость отсутствует в версии log4j 1 и исправлена в версии 2.15.0.

Как ранее сообщали специалисты Netlab 360, через Log4Shell хакеры заражают уязвимые Linux-устройства вредоносным ПО для майнинга криптовалюты и осуществления DDoS-атак.

По данным ИБ-компании Check Point, порядка 40% корпоративных сетей по всему миру уже были атакованы злоумышленниками в попытке проэксплуатировать Log4Shell. За 46% попыток эксплуатации уязвимости в сетях клиентов Check Point стоят известные киберпреступные группировки.

Хотя масштабных инцидентов с эксплуатацией уязвимости пока не зафиксировано, специалисты опасаются , что атаки эволюционируют. Согласно их прогнозам, хакеры не будут ограничиваться только ботнетами и криптомайнерами, а начнут развертывать в уязвимых сетях вымогательское или другое деструктивное ПО, что чревато «вторым Colonial Pipeline».

«Мы ожидаем увидеть эту уязвимость в цепочке поставок каждой организации», - сообщил старший директор по информационной безопасности HackerOne Крис Эванс (Chris Evans).

Похоже, прогнозы исследователей уже начали сбываться. Хотя большинство атакованных через Log4Shell устройств работают под управлением Linux, специалисты Bitdefender также зафиксировали попытки хакеров использовать уязвимость для доставки вымогательского ПО Khonsari на Windows-системы и загрузки трояна для удаленного доступа (RAT) Orcus.

По словам старшего исследователя ИБ-компании SentinelOne Хуана Андреса Герреро-Сааде (Juan Andres Guerrero-Saade), он вместе с коллегами уже фиксирует попытки китайских киберпреступных группировок проэксплуатировать Log4Shell. Более того, как отмечают специалисты Mandiant и Crowdstrike, уязвимостью уже вооружились высококвалифицированные хакерские группировки. В письме Reuters специалисты Mandiant описали эти группировки как «работающие на правительство Китая».