威胁攻击者使用Log4Shell漏洞攻击Ubiquiti网络设备

安全公司Morphisec在上周的一份报告中表示，威胁行为者正在使用针对Log4Shell漏洞的定制公共利用来攻击并接管运行UniFi软件的Ubiquiti网络设备。

1.第一次主动利用是在2022年1月20日。

2.攻击者使用了之前在GitHub上共享的概念验证漏洞。

3.PoC开发了Sprocket Security，将Log4j Java库中的Log4Shell漏洞利用改编为在Ubiquiti的UniFi设备上工作，并完成了利用后的步骤。

UniFi软件

UniFi软件由世界上最大的硬件供应商之一Ubiquiti Networks开发，可以安装在Linux和Windows服务器上，并允许网络管理员从基于Web的集中式应用程序管理Ubiquiti无线和网络设备。

该应用程序是使用Java构建的，并利用Log4j库来实现其日志记录功能，并被列为受Log4Shell影响，在Log4Shell新闻公开后的第二天12月10日收到了补丁。

虽然Sprocket Security在12月下旬发布了针对UniFi设备的Log4Shell攻击的改编版本，但直到上周五Morphisec的公开报告才出现攻击。

Morphisec表示，攻击者接管了UniFi设备并运行恶意PowerShell代码，该代码后来下载并安装了Cobalt Strike Beacon后门的一个版本。

研究人员指出，该恶意软件与以前曾在Log4Shell攻击之前看到攻击SolarWinds Serv-U服务器的命令和控制服务器通信。

Log4j攻击增长缓慢

在Log4Shell漏洞被披露后，许多安全专家立即警告说，使用此漏洞的攻击将会增加，并导致某种互联网灾难和大规模的黑客攻击。

差不多两个月后，这还没有发生，主要是因为利用Log4Shell并没有那么简单。由于该库在使用它的每个应用程序中的实现方式不同，因此没有通用的漏洞利用代码可以在任何地方开箱即用，并授予攻击者不分青红皂白地接管系统的能力。

对于他们想要攻击的每个软件，威胁参与者必须对代码进行逆向工程，并查看需要如何调整漏洞利用，这是一项非常复杂、复杂且耗时的工作，威胁参与者很少会费心去做。

相反，攻击者依靠在线共享的公共漏洞利用，两个月后，有关Log4Shell漏洞利用的报告仅限于少数设备，例如VMWare Horizo​​n、VMWare vCenter、ZyXEL路由器和SolarWinds Serv-U服务器。MobileIron已经逃脱了攻击，尽管目前有公开的PoC。