​​Судная ночь продолжается.

0-day уявимость Log4Shell получила оценку 10/10 по шкале CVSSv3, но в дикой природе, как мы и предполагали, оказалась куда более серьезной, чем предполагалось изначально, ведь на практике эксплуатация, как выяснили LunaSec, не требует серьезных технических навыков и укладывается в одну строчку кода.

Кроме того, CVE-2021-44228 затрагивает почти все корпоративные продукты Apache Software Foundation и присутствует фактически во всех основных корпоративных приложениях и серверах на основе Java. Apple, Amazon, Twitter, Cloudflare, Steam, Tencent, Baidu, DIDI, JD, NetEase и тысячи других компаний потенциально уязвимы для атак Log4Shell.

Все настолько плохо, что даже выпущенное Apache Software Foundation экстренное обновление безопасности никак не повлияло на ситуацию. К настоящему времени злоумышленники уже массово сканят сеть в надежде на LogJam.

Тем не менее, на помощь пришли частные специалисты: Cybereason представили вакцину Logout4Shell для удаленного устранения Log4Shell. Сценарий позволяет удаленно произвести настройку сервера LDAP на основе Java, по сути эксплуатируя уязвимый сервер и реализуя полезную нагрузку, которая отключает параметр trustURLCodebase на удаленном сервере Log4j. Все бы ничего, если Logout4Shell сам по себе не был бы подвержен злоупотреблениям, но, в бою все средства хороши, по мнению его авторов.

А тем временем, в полях хакеры всех мастей отрабатывают дыру вдоль и поперёк.

По данным Netlab 360, на уязвимые устройства грузят вредоносное ПО Mirai, Muhstik и Kinsing, ля развертывания криптомайнеров и выполнения крупномасштабных DDoS-атак. Microsoft 365 Defender Threat Intelligence фиксируют использование уязвимости Log4j для внедрения имплантата Cobalt Strike. Не менее активны и те, кто предпринимает попытки использования эксплойтов Log4Shell для эксфильтрации данных с сервера, включая имя хоста, имя пользователя в службе Log4j, наименование и номер версии ОС и др.

Но, пожалуй, реальные сливки снимались гораздо ранее, чем уязвимость была раскрыта публично 10 декабря. Впервые обнаружить уявимость в дикой природе удалось Cloudflare еще 1 декабря, а на следующий день об активности злоумышленников также упоминается в отчете Cisco Talos, что было до декабря - обнаружиться позже, равно и то, насколько все печально сейчас.

Ну, а пока, дорогие наши, Merry Christmas!!!

Per request, even MORE LOG4J samples:)

Злоумышленники получили доступ к аккаунту премьер-министра Индии и попытались встряхнуть рынок криптовалют.

Ну еще бы, рынок не может не реагировать когда "сам" премьер-министр Индии опубликует в Twitter, что его страна приняла биткойн в качестве законного платежного средства и распределяет криптовалюту среди граждан. Нарендра Моди, конечно не Илон Маск, но для справки в Индии население 1,38 миллиарда человек, а у премьер-министра более 73 миллионов подписчиков и он является самым популярным политиком в социальной сети.

К разочарованию хакеров данный инцидент почти незаметно отразился на стоимости криптовалюты, так как твит о покупке и официальном принятии BTC был быстро удален, а контроль над учетной записью восстановлен. Возможно, хакерам удалось заработать некоторые крохи, так как в сообщении была размешена мошенническая ссылка.

Это был уже второй случай взлома одной из учетных записей Моди в Твиттере. Как известно, в прошлом году был взломан другой аккаунт, с которого был опубликован твит, призывающий общественность сделать пожертвования в "фонд помощи при коронавирусе".

По иронии судьбы воскресный взлом произошел, когда Индия готовилась как раз таки подавить новым законом процветающую в стране торговлю криптовалютой, который, вероятно, будет внесен в парламент в этом месяце. Детали закона пока не разглашаются, но правительство объявило о широком запрете на частные цифровые активы.

Видимо под грядущим железным занавесом, злоумышленники пытались отбить вложенные инвестиции, так как в памяти остался момент резкого роста на местных рынках после того, как Верховный суд Индии отменил предыдущий запрет, принятый в прошлом году.

Сам Моди заявил в прошлом месяце, что криптовалюты могут «испортить нашу молодость», а центральный банк неоднократно заявлял, что криптоиндустрия вызывает серьезные опасения по поводу макроэкономической и финансовой стабильности страны.

Внезапно ушедший из жизни в апреле этого года настоящий профессионал в сфере инфосек Дэн Камински был занесен в Зал славы Интернет-сообщества за уникальный вклад в безопасность DNS. Ранее в июле этого года Каминский был включен в зал славы FIRST по реагированию на инциденты.

Камински был известен исследованиями в области безопасности DNS, в частности именно он в 2008 году впервые описал DNS cache poisoning. В июне 2010 года Камински стал одним из самых доверенных представителей ICANN для корня DNSSEC. А кроме того, постоянно выступал на Black Hat и DEFCON, основал антифрод-стартап White Ops и многое другое.

Его безвременная смерть в возрасте 42 лет оборвала блестящую карьеру, которая к тому времени уже сделала Интернет сильнее и безопаснее.