mercoledì 15 dicembre 2021

Log4Shell: prima installazione ransomware sfruttando la vulnerabilità di Java Log4j (risolvibile!)


La CVE-2021-44228 in breve
La CVE-2021-44228, ribattezzata Log4Shell, è una vulnerabilità che consente l'esecuzione di codice da remoto senza necessità di autenticazione e può essere sfruttata per eseguire codice arbitrario su applicazioni e server basati su Java che eseguono la libreria Log4j. E' quasi onnipresente nei servizi utilizzati dalle aziende, ma affligge anche applicazioni usate da home user: paradossalmente uno dei primi a pubblicare la patch per questa vulnerabilità è stato il popolarissimo gioco Minecraft. Per i servizi aziendali è presente dai software alle app web nei prodotti Apple, Amazon, CloudFlare, Twitter, Steam, Tencent, Baidu ecc... Altri progetti open source come Redis, ElastichSearch, Elastic Logstash ecc.. utilizzano in parte questa libreria. 

In caso un attaccante riesca a sfruttare con successo questa vulnerabilità può assumere il controllo totale dei sistemi che usano Log4j 2.0-beta9 fino alla versione 2.15.0.

Nota Bene: la  vulnerabilità è stata risolta nella versione Log4j 2.16.0, scaricabile qui. Consigliamo l'update prima possibile!

Per approfondire > Log4Shell: l'exploit 0-day della libreria Java Log4j che sarà l'incubo delle aziende (ma è mitigabile!)

Il primo exploit di Log4Shell per installare ransomware
I ricercatori di sicurezza hanno riportato ieri martedì 14 Dicembre la notizia della prima famiglia ransomware che sta attivamente sfruttando l'exploit della CVE-2021-44228 per installare ransomware. 

Nel caso in oggetto, l'exploit scarica una classe Java da hxxp://3.145.115[.]94/Main.class: questa classe viene caricata ed eseguita nell'applicazione L0g4j. Una volta caricata, questa scarica un binario .NET dallo stesso server per installare il nuovo ransomware, chiamato Khonsari.

Il nome Khonsari deriva dall'estensione che il ransomware stesso appone alla fine del nome del file e ricorre anche nella nota di riscatto

Lo stesso server è usato già da tempo per distribuire a livello mondiale un Remote Access Trojan chiamato Orcus. 

Il Ransomware Khonsari in breve
Khonsari è una famiglia ransomware piuttosto nuova. Non si hanno molte informazioni: Michael Gillespie, intervistato da Bleeping Computer, ha fatto sapere che Khonsari esegue una routine di criptazione valida e sicura, il che significa che non è possibile recuperare gratuitamente i file riportandoli in chiaro. Rientra nei RaaS (ransomware as a service), anche se rispetto ad altri risulta molto meno sofisticato e professionale. 

La stranezza è che le richieste di riscatto fino ad adesso scaricate sulle macchine bersaglio non contengono alcun riferimento per contattare gli attaccanti. Il che apre un dubbio: se l'attaccante non è contattabile per pagare il riscatto o almeno avviare una contrattazione, non si prevede la possibilità di recuperare i file. Questo porterebbe questo malware fuori dalla categoria dei ransomware, notoriamente i malware del riscatto, e lo incasella piuttosto entro i wiper malware pensati per cancellare senza possibilità di recupero i dati presenti su una macchina o su un'intera rete. C'è però anche chi sostiene che in realtà questi attacchi siano esperimenti non tanto mirati a monetizzare le attività criminali, quanto a sperimentare le reali possibilità di questo nuovo vettore di attacco che è Log4Shell. 

Poco importa comunque, anzi, è una buona notizia che questo ransomware / wiper sia meno devastante di altri "colleghi" della categoria ma resta il punto: i cyber criminali vogliono e stanno già usando Log4Shell per distribuire non solo miner di criptovalute, botnet, tool come Cobal Strike ecc.. ma anche per distribuire ransomware. E' quindi solo questione di tempo prima che qualche "top ransomware" inizi a sfruttare attivamente questa falla, approfittando della storica lentezza con la quale le aziende procedono al patching di vulnerabilità gravi. 

Aggiornamenti sull'andamento dei tentativi di exploit
Questa mattina l'esperto di cyber security e CSO presso Cassa Depositi e Prestiti Nicola Vanin ha pubblicato un aggiornamento interessante, che quantifica il volume di attacchi. 

Si Parla di 840.000 attacchi contro Log4Shell in 72 ore. Circa 100 al minuto



Nota bene: 
La versione 2.15.0 di Log4J, contenente la patch per la  vulnerabilità 0day CVE-2021-44228, ha una propria vulnerabilità. Per questa falla, tracciata come CVE-2021-45046, sono già stati individuati 2 exploit. Ecco perchè le aziende che avevano già aggiornato Log4J alla 2.15.0 hanno continuato a subire attacchi. 

Per questo Apache Foundation ha già reso disponibile la v. 2.16.0, che patcha la CVE-2021-45046.

Nessun commento:

Posta un commento