Microsoft avverte dei continui tentativi da parte di avversari di stato-nazione e aggressori di merci di sfruttare le vulnerabilità di sicurezza scoperte nel framework di registrazione open source Log4j per distribuire malware su sistemi vulnerabili.
“I tentativi di sfruttamento e i test sono rimasti elevati durante le ultime settimane di dicembre“, ha affermato il Microsoft Threat Intelligence Center (MSTIC) nelle linee guida riviste pubblicate all’inizio di questa settimana. “Abbiamo osservato molti aggressori esistenti che aggiungono exploit di queste vulnerabilità nei loro kit e tattiche malware esistenti, dai minatori di monete agli attacchi con la tastiera”.
Nelle settimane successive, sono emerse altre quattro debolezze nell’utility – CVE-2021-45046, CVE-2021-45105, CVE-2021-4104 e CVE-2021-44832 – fornendo ai cattivi attori opportunisti un controllo persistente sul macchine compromesse e organizza una serie di attacchi in continua evoluzione che vanno dai minatori di criptovaluta al ransomware.
Anche se i tentativi di scansione di massa non mostrano segni di cedimento, sono in corso sforzi per eludere i rilevamenti di corrispondenza delle stringhe offuscando le richieste HTTP dannose orchestrate per generare un registro delle richieste Web utilizzando Log4j che sfrutta JNDI per eseguire una richiesta all’attaccante controllato luogo.
Inoltre, Microsoft ha affermato di aver osservato “un rapido assorbimento della vulnerabilità nelle botnet esistenti come Mirai, campagne esistenti precedentemente mirate a sistemi Elasticsearch vulnerabili per distribuire minatori di criptovaluta e attività di distribuzione della backdoor Tsunami sui sistemi Linux“.
Inoltre, la vulnerabilità Log4Shell è stata anche utilizzata per eliminare ulteriori toolkit di accesso remoto e shell inverse come Meterpreter, Bladabindi (alias NjRAT) e HabitsRAT.
“In questo frangente, i clienti dovrebbero presumere che un’ampia disponibilità di codice exploit e capacità di scansione sia un pericolo reale e presente per i loro ambienti“, ha osservato MSTIC. “A causa dei numerosi software e servizi interessati e dato il ritmo degli aggiornamenti, si prevede che questo avrà una lunga coda per la riparazione, che richiede una vigilanza continua e sostenibile“.
Lo sviluppo arriva anche quando la Federal Trade Commission (FTC) degli Stati Uniti ha emesso un avvertimento che “intende utilizzare la sua piena autorità legale per perseguire le aziende che non adottano misure ragionevoli per proteggere i dati dei consumatori dall’esposizione a causa di Log4j, o simili noti vulnerabilità in futuro“.
