איך פועלת חולשת Apache Log4Shell, את מה היא תוקפת ואיך לעצור אותה?

איך פועלת חולשת Apache Log4Shell, את מה היא תוקפת ואיך לעצור אותה?
מאת: מערכת Telecom News, 13.12.21, 13:29
 
הצפי הוא, שהתוקפים יגבירו ויגוונו את שיטות ההתקפה, וכן ירחיבו את הסיבות לתקיפה במהלך הימים והשבועות הקרובים, כולל האפשרות למנף את ההתקפה לצורך הפעלת תוכנות כופר.  
 
בעקבות הדיווח על חשיפת חולשות Apache Log4Shell, פרסמה סופוס, שעוסקת באבטחת סייבר של הדור הבא, מודיעין על תקיפות סייבר, שכבר מתרחשות ועל ניסיונות לנצל מערכות, שאינן מעודכנות. במחקר, תחת הכותרת LogShell Hell: Anatomy of an Exploit Outbreak, החברה זיהתה זינוק במספר ההתקפות הקיימות והמנסות לנצל את החולשה החדשה, עם מאות אלפי נסיונות, שזוהו עד כה.
 
על פי הערכות החברה, בוטנטים לכריית מטבעות קריפטו הם מבין הפלטפורמות הראשונות להתקפה. מדובר בבוטנטים הממוקדים בפלטפורמות של שרתי לינוקס, שחשופים במיוחד להתקפה זו. החברה גם זיהתה ניסיונות לחלץ נתונים משירותים, כולל מפתחות זיהוי משירותי AWS ונתונים פרטיים אחרים.
 
באשר לדרך הפעולה, זיהתה החברה, שניסיונות לנצל שירות רשת מתחילים בסריקות שונות. כ-90% מהסורקים, שהחברה זיהתה, היו ממוקדים בפרוטוקול LDAP (Lightweight Directory Access Protocol). מספר קטן יותר של סורקים חיפשו את Remote Interface (RMI) של Java, אך עם זאת, החוקרים מציינים, שישנו מגוון רחב יותר של נסיונות תקיפה ייחודיים על RMI.
 
החברה צופה, שהתוקפים יגבירו ויגוונו את שיטות ההתקפה, וכן ירחיבו את הסיבות לתקיפה במהלך הימים והשבועות הקרובים, כולל האפשרות למנף את ההתקפה לצורך הפעלת תוכנות כופר.  

שון גלגהר, (בתמונה משמאל), חוקר איומים בכיר בסופוס: "מאז ה-9 בדצמבר, החברה זיהתה מאות אלפי ניסיונות להפעיל קוד מרחוק דרך פגיעות Log4Shell. בהתחלה, היו אלה בדיקות להוכחת היתכנות (PoC), שנעשו ע"י חוקרי אבטחה ותוקפים שונים, וכן סריקות מקוונות רבות, שנעשו לאיתור הפגיעויות במערכות.

זמן קצר לאחר מכן הגיעו ניסיונות להתקין כורים של מטבעות קריפטוגרפיים, כולל של הבוטנט Kinsing. המודיעין העדכני ביותר מצביע על כך, שהתוקפים מנסים לנצל את החולשות כדי לחשוף מפתחות המשמשים חשבונות ב-AWS. ישנם גם סימנים לכך, שהתוקפים מנסים לנצל את הפגיעות כדי להתקין כלים לגישה מרחוק ברשתות של הקורבנות. בין היתר, את Cobalt Strike, כלי מרכזי במסגרת מתקפות כופר רבות.

חולשות Log4Shell מייצרת אתגר מסוג שונה למגינים. חולשות רבות בתוכנות מוגבלות למוצר או פלטפורמה מסוימת, כגון ב-ProxyLogon ו-ProxyShell המופיעות ב-Exchange של מיקרוסופט.
 
ברגע שהמגינים יודעים מהי התוכנה הפגיעה, הם יכולים לבדוק ולעדכן אותה. עם זאת, Log4Shell היא ספריה המשמשת מוצרים רבים. לכן היא עלולה להופיע בפינות האפילות ביותר של התשתית הארגונית, כולל בתוכנות, שפותחו ע"י החברה עצמה. מציאת כל המערכות הפגיעות ל-Log4Shell צריכה להיות בעדיפות עליונה עבור צוותי אבטחה".
 
החברה צופה, שהמהירות בה התוקפים רותמים למטרותיהם את החולשות רק תגבר, ושיטות הפעולה תהיינה מגוונות יותר במהלך הימים והשבועות הקרובים. ברגע שלתוקף יש גישה מאובטחת לרשת, כל סוג של הדבקה יכול להגיע לאחר מכן.
 
לכן, יחד עם עדכוני תוכנה, שכבר פורסמו עבור Apache ל-Log4j 2.15.0, צוותי אבטחת IT צריכים לבצע סקירה יסודית של פעילויות לרוחב הרשת, ולזהות ולהסיר כל עקבות של תוקפים, אפילו אם הם נראים כמו רק כמו קוד  זדוני נפוץ ומציק". 
 
פול דאקלין, (בתמונה משמאל), מדען מחקר ראשי בסופוס: "המספר מדהים של דרכים שונות בהן ניתן להפעיל את Log4Shell, המספר העצום של המקומות השונים בתעבורת הרשת בהן הקוד יכול להופיע, והמגוון העצום של השרתים והשירותים, שעלולים להיפגע, הופכים יחד לאיום גדול הפועל נגד כולנו. התגובה הטובה ביותר היא ברורה לגמרי: עדכון המערכות שלך ברגע זה".
 
מידע נוסף לגבי כיצד הפגיעות פועלת, מה היא עלולה לעשות, וכיצד לתקן אותה אפשר למצוא ב- Log4Shell Explained – How it Works, Why You Need to Know, and How to Fix It
    
הערה: מערך הסייבר הלאומי פרסם כאן התרעה דחופה: פגיעות חמורה בספריה בשם Log4j מנוצלת בפועל לתקיפות בעולם:
ספריה חינמית (Open Source)בשם Log4j, שמקורה בפרויקט Apache, כלולה במספר רב של מוצרים מתוצרת יצרנים שונים, ובשירותי ענן שונים. הספרייה משמשת לרישום לוגים בתוכנות שונות הכתובות בשפת Java. לאחרונה פורסמה פגיעות קריטית בספריה, שמאפשרת לתוקף מרוחק הרצת קוד על שרת המפעיל ספריה זו (RCE) ללא צורך בהזדהות באמצעות משלוח תעבורה ספציפית לשרת. מומלץ מאד בדחיפות לבחון ולהתקין את עדכון האבטחה שפורסם לפגיעות בהקדם האפשרי, או להגדיר את המעקף שפורסם ע"י Apache.