Este informe especial contiene información sobre instancias de Apache Log4j 2 potencialmente vulnerables que están en alto riesgo de explotación CVE-2021-44228 / » log4shell». Puede leer más sobre los antecedentes de CVE-2021-44228 y este informe especial en las publicaciones del blog de Shadowserver aquí y aquí .
Los informes especiales de Shadowserver son diferentes a todos los otros informes de red diarios gratuitos estándar. No cubren un período de tiempo específico.
En cambio, se envían estos informes especiales en situaciones en las que se pueden compartir conjuntos de datos únicos y de alto valor que se cree que deben informarse de manera responsable para obtener el máximo beneficio público. A veces, hay incidentes en los que sería útil poder notificar a las posibles víctimas sobre eventos o infracciones que pueden haberlas afectado fuera del período anterior de 24 horas, por ejemplo, durante eventos de alto perfil como la cadena de suministro de Solarwinds Orion/SUNBURST o HAFNIUM. /Infracciones masivas de Microsoft Exchange Server, en las que los respondedores de incidentes pueden tardar varios días en realizar investigaciones forenses y los datos analizados están disponibles para compartirlos con posibles víctimas. Aunque los eventos incluidos en estos Informes Especiales estarán fuera de nuestra ventana habitual de informes diarios de 24 horas,
Tenga en cuenta que los datos compartidos en los informes especiales pueden diferir caso por caso, por lo que los formatos de informe para diferentes informes especiales pueden ser diferentes.
Alpha Strike Labs compartió los datos de este informe especial de Vulnerable Log4j con Shadowserver, quienes entre el 11 y el 13 de diciembre de 2021 utilizaron una lista inicial de ~300 millones de direcciones IP de respuesta ya conocidas de escaneos IPv4/0 realizados en 16 puertos comunes para verificar para instancias vulnerables de log4j (Informe especial n.º 1). Repitieron su escaneo en el período del 16 al 22 de diciembre (Informe Especial #2). Su escaneo CVE-2021-44228 generó una respuesta DNS saliente de sistemas vulnerables a través de la interfaz JNDI, lo que permitió enumerar los sistemas potencialmente vulnerables. Alpha Strike Labs nos ha pedido que pongamos estos datos a disposición de los CSIRT nacionales y los propietarios de redes a través de los canales probados de Shadowserver.
CAMPOS
timestamp | Marca de tiempo cuando se vio la dirección IP, en UTC+0 |
ip | Dirección IP del dispositivo afectado |
port | Puerto TCP o UDP identificado |
protocol | Protocolo asociado con el escaneo de vulnerabilidades |
asn | Número de Sistema Autónomo del dispositivo afectado |
region | Región del dispositivo afectado |
city | Ciudad del dispositivo afectado |
hostname | Nombre de host del dispositivo afectado (puede ser de DNS inverso) |
naics | Código del sistema de clasificación industrial de América del Norte del dispositivo afectado |
sector | Sector del dispositivo afectado |
tag | Detalles sobre el evento |
public_source | Fuente de los datos |
status | Estado de la dirección IP afectada, por ejemplo, «vulnerable» |
method | Método utilizado para determinar la vulnerabilidad |
EJEMPLO
"timestamp","ip","port","protocol","asn","geo","region","city","hostname","naics","sector","tag","public_source","status","method"
"2021-12-13 13:58:00",95.38.xx.xx,80,tcp,41881,IR,TEHRAN,TEHRAN,,,,cve-2021-44228,alphastrike.io,vulnerable,dns
"2021-12-13 13:58:00",50.19.xx.xx,443,tcp,14618,US,VIRGINIA,ASHBURN,ec2-50-19-xx-xx.compute-1.amazonaws.com,454110,"Retail Trade",cve-2021-44228,alphastrike.io,vulnerable,dns
"2021-12-13 13:58:00",18.205.xx.xx,8080,tcp,14618,US,VIRGINIA,ASHBURN,ec2-18-205-xx-xx.compute-1.amazonaws.com,454110,"Retail Trade",cve-2021-44228,alphastrike.io,vulnerable,dns
Fuente: https://www.shadowserver.org/what-we-do/network-reporting/vulnerable-log4j-servers-special-report/