Контакты
Подписка 2024
DCAP и DLP
13 марта. Защита корпоративных данных: достаточно ли внедрить DCAP и DLP?
Представляйте решения на онлайн-конференции!

Начались атаки на устройства Ubiquiti через уязвимость Log4j

01/02/22

Ubiquiti-1Киберпреступники используют кастомизированную версию публично доступного эксплоита для нашумевшей уязвимости Log4Shell, чтобы атаковать сетевые установки Ubiquiti с установленным программным обеспечением UniFi.

Как сообщают специалисты ИБ-компании Morphisec, первые атаки начались 20 января 2022 года. Злоумышленники использовали PoC-эксплоит, ранее опубликованный на GitHub.

Разработанный компанией Sprocket Security PoC-эксплоит позволяет эксплуатировать уязвимость Log4Shell в утилите Log4j на UniFi-устройствах Ubiquiti.

ПО UniFi может устанавливаться на Linux- и Windows-серверах и позволяет сетевым администраторам управлять беспроводным и сетевым оборудованием Ubiquiti из одного централизованного web-приложения. Это приложение написано с использованием Java и использует утилиту Log4j для поддержки функции журналирования. Приложение присутствует в списке продуктов, затрагиваемых уязвимостью Log4Shell, и получило исправление 10 декабря 2021 года – на следующий день после того, как о Log4Shell стало известно широкой общественности.

Хотя Sprocket Security опубликовала свою версию PoC-эксплоита, адаптирующую атаку под UniFi-устройства, еще в декабре, атаки с ее использованием не фиксировались вплоть до публикации отчета Morphisec в конце прошлой недели.

Согласно отчету, злоумышленники захватывали контроль над UniFi-устройствами и запускали вредоносный PowerShell-код, загружавший и устанавливающий бэкдор Cobalt Strike Beacon. Примечательно, что вредонос подключается к C&C-серверу, ранее использовавшемуся в атаках на серверы SolarWinds Serv-U еще до раскрытия Log4Shell.

Сразу после того, как о Log4Shell стало известно широкой общественности, многие ИБ-эксперты ожидали масштабного всплеска атак с ее эксплуатацией, способного привести к своего рода интернет-катастрофе. Однако по прошествии почти двух месяцев этого так и не произошло, в основном потому, что уязвимость оказалась не так проста в эксплуатации.

Поскольку в каждом приложении библиотека Log4j реализована по-своему, создать универсальный эксплоит, который подходил бы для любого ПО, невозможно. Злоумышленник должен сначала провести реверс-инжиниринг кода, понять принцип его работы и адаптировать под приложение, которое он хочет атаковать – сложная, кропотливая и времязатратная работа, которая под силу не каждому.

В основном, киберпреступники предпочитают использовать готовые эксплоиты, доступные online, и спустя два месяца после раскрытия Log4Shell ее эксплуатация ограничивается лишь несколькими устройствами, в частности VMWare Horizon, VMWare vCenter , маршрутизаторами ZyXEL и серверами SolarWinds Serv-U.

Темы:ПреступленияUbiquitiLog4j
Российские платформы виртуализации
21 марта. Российские платформы виртуализации: безопасность, производительность, совместимость
Участвуйте и представляйте решения!

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
14 марта. Автоматизация реагирования на инциденты по информационной безопасности
Участвуйте!

Еще темы...

More...