Начались атаки на устройства Ubiquiti через уязвимость Log4j

[Artifact]

Хотя адаптированный под UniFi-устройства PoC-эксплоит был опубликован еще в декабре, атаки с ним начались только в конце января.

Киберпреступники используют кастомизированную версию публично доступного эксплоита для нашумевшей уязвимости Log4Shell, чтобы атаковать сетевые установки Ubiquiti с установленным программным обеспечением UniFi.
Как сообщают специалисты ИБ-компании Morphisec, первые атаки начались 20 января 2022 года. Злоумышленники использовали PoC-эксплоит, ранее опубликованный на GitHub.
Разработанный компанией Sprocket Security PoC-эксплоит позволяет эксплуатировать уязвимость Log4Shell в утилите Log4j на UniFi-устройствах Ubiquiti.
ПО UniFi может устанавливаться на Linux- и Windows-серверах и позволяет сетевым администраторам управлять беспроводным и сетевым оборудованием Ubiquiti из одного централизованного web-приложения. Это приложение написано с использованием Java и использует утилиту Log4j для поддержки функции журналирования. Приложение присутствует в списке продуктов, затрагиваемых уязвимостью Log4Shell, и получило исправление 10 декабря 2021 года – на следующий день после того, как о Log4Shell стало известно широкой общественности.
Хотя Sprocket Security опубликовала свою версию PoC-эксплоита, адаптирующую атаку под UniFi-устройства, еще в декабре, атаки с ее использованием не фиксировались вплоть до публикации отчета Morphisec в конце прошлой недели.
Согласно отчету, злоумышленники захватывали контроль над UniFi-устройствами и запускали вредоносный PowerShell-код, загружавший и устанавливающий бэкдор Cobalt Strike Beacon. Примечательно, что вредонос подключается к C&C-серверу, ранее использовавшемуся в атаках на серверы SolarWinds Serv-U еще до раскрытия Log4Shell.
Сразу после того, как о Log4Shell стало известно широкой общественности, многие ИБ-эксперты ожидали масштабного всплеска атак с ее эксплуатацией, способного привести к своего рода интернет-катастрофе. Однако по прошествии почти двух месяцев этого так и не произошло, в основном потому, что уязвимость оказалась не так проста в эксплуатации.
Поскольку в каждом приложении библиотека Log4j реализована по-своему, создать универсальный эксплоит, который подходил бы для любого ПО, невозможно. Злоумышленник должен сначала провести реверс-инжиниринг кода, понять принцип его работы и адаптировать под приложение, которое он хочет атаковать – сложная, кропотливая и времязатратная работа, которая под силу не каждому.
В основном, киберпреступники предпочитают использовать готовые эксплоиты, доступные online, и спустя два месяца после раскрытия Log4Shell ее эксплуатация ограничивается лишь несколькими устройствами, в частности VMWare Horizon, VMWare vCenter , маршрутизаторами ZyXEL и серверами SolarWinds Serv-U .