失控！Log4Shell漏洞出現六十多個惡性變種

2021年最重大的網絡安全災難莫過于當下肆虐全球的Apache Log4j日志庫漏洞利用（又稱Log4Shell，編號CVE-2021-44228）。

自上周公開披露以來，Log4Shell漏洞像癌癥一樣在互聯網上迅猛擴散，導致全球的企業安全人員都失去了周末假期。

根據業界眾多網絡安全公司的觀測，目前大多數Log4Shell漏洞利用主要是挖礦軟件，但攻擊者也在積極嘗試在易受攻擊的系統上安裝更危險的惡意軟件。據微軟研究人員稱，除了挖礦軟件之外，他們還看到了Cobalt Strike的安裝，攻擊者可以用它來竊取密碼，通過橫向移動進一步潛入受感染的網絡并竊取數據。

更為糟糕的是，該漏洞利用正在發生快速變異，繞過現有緩解措施，并吸引了越來越多的攻擊者。Check Point的網絡安全研究人員周一警告說，Log4Shell正在快速變異，已經產生60多個更強大的變種，所有變種都在不到一天的時間內產生。

研究人員指出：“自周五以來，我們目睹了一種類似病毒進化的迅猛勢頭，原始漏洞的新變種被迅速引入：在不到24小時內涌現超過60種。”

Log4Shell是個極度危險的漏洞，因為它非常容易被利用，且駐留在無處不在的Java日志庫Apache Log4j中，漏洞利用可導致未經身份驗證的遠程代碼執行(RCE)和服務器被完全接管。

突變可能使漏洞利用繞過緩解措施

周一，Check Point報告說，Log4Shell的新的惡性變種現在已經可以“通過HTTP或HTTPS”被利用。

Check Point表示，利用該漏洞的方法越多，攻擊者就越容易繞過自周五以來安全廠商和企業瘋狂推出的新保護措施。這意味著一層保護是不夠的，只有多層安全態勢才能提供彈性保護。

由于Log4Shell的攻擊面巨大，一些安全專家稱Log4Shell是今年最大的網絡安全災難，將其與2014年Shellshock系列安全漏洞相提并論，后者被受感染計算機的僵尸網絡用于執行分布式拒絕服務(DDoS)攻擊和漏洞掃描，在其最初披露后的數小時內就被野外利用。

攻擊戰術轉變

除了可以繞過保護措施的變化之外，研究人員還看到了漏洞利用的新策略。

人工智能網絡安全公司Vectra的威脅情報負責人Luke Richards周一透露，最初的漏洞利用嘗試是基本的回調，最初的漏洞利用嘗試來自TOR節點。他們主要指向“bingsearchlib[.]com”，利用被傳遞到用戶代理或請求的統一資源標識符（URI）。

但自從第一波利用嘗試浪潮以來，Vectra已經跟蹤了利用該漏洞的威脅行為者在策略上的許多變化。值得注意的是，正在使用的命令發生了變化，因為威脅行為者已經開始混淆他們的請求。

Richards解釋說：“這最初包括用base64字符串填充用戶代理或URI，當易受攻擊的系統解碼時，會導致主機從攻擊者基礎設施下載惡意dropper。”在此之后，攻擊者開始利用JDNI進程的其他轉換功能來混淆Java命名和目錄接口(JDNI)字符串本身。

他舉了以下代碼實例：

${jndi:${lower:l}${lower:d}a${lower:p}://world80

${${env:ENV_NAME:-j}n${env:ENV_NAME:-d}i${env:ENV_NAME:-:}${env:ENV_NAME:-l}d${env:ENV_NAME:-a}p${env:ENV_NAME:-:}//

${jndi:dns://

所有這些都實現了相同的目標：“下載惡意類文件并將其放到目標系統上，或者泄露基于云的系統的憑據，”Richards說道。

漏洞已被公開利用數周

至少從12月1日起，攻擊者就一直在圍繞Log4Shell漏洞進行討論，事實證明，一旦CVE-2021-44228在上周晚些時候公開披露，就像打開了潘多拉盒子，蜜罐中涌入了大批攻擊者。

周日，Sophos研究人員表示，他們“自12月9日以來已經檢測到數十萬次利用此漏洞遠程執行代碼的嘗試”（上圖），并指出其他組織（包括Cloudflare）的日志搜索表明該漏洞可能已被公開利用數周。

Cloudflare首席執行官Matthew Prince周六在推特上說：“到目前為止，我們發現的#Log4J漏洞利用的最早證據是2021-12-01 04:36:50 UTC。”“這表明它至少在公開披露前9天就已經存在了。但是，在公開披露之前沒有看到大規模漏洞利用的證據。”

上周日，思科Talos表示最早在12月2日就檢測到攻擊者利用CVE-2021-44228，建議企業將威脅掃描的起始日期大幅提前。

40%的企業網絡已遭遇漏洞利用攻擊

Check Point周一表示，它挫敗了超過845000次漏洞利用嘗試，其中超過46%的嘗試是由已知的惡意組織發起的。Check Point警告說，每分鐘有超過100次嘗試利用該漏洞。

截至美國東部時間周一上午9點，其研究人員已經發現，全球超過40%的企業網絡都遭遇了漏洞利用攻擊。

下圖說明了全球范圍漏洞利用的地區分布：

受漏洞影響的知名企業名單（部分）：

截至周一，互聯網仍處于崩潰模式，根據GitHub上托管的一個漏洞影響企業名單，包括蘋果、騰訊、Twitter、百度、滴滴、京東、網易、亞馬遜、特斯拉、谷歌等大量知名互聯網科技企業都受到Log4Shell的影響（名單還附上了證據鏈接）：

完整名單鏈接：

https://github.com/YfryTchsGD/Log4jAttackSurface