Сур'ёзнасць уразлівасці ў Log4j не толькі тэарэтычная. Кіберзлачынцы scan партоў па ўсім свеце, каб знайсці спосабы іх выкарыстання. Даследчыкі бяспекі назіралі сотні тысяч нападаў.
За апошнія некалькі дзён Check Point Software распазнала 470,000 XNUMX спроб scan карпаратыўныя сеткі па ўсім свеце. The scans выконваюцца, сярод іншага, для пошуку сервераў, якія дазваляюць запытваць знешнія HTTP-запыты. Такія серверы схільныя выкарыстоўваць сумнавядомую ўразлівасць у бібліятэцы Java Log4j. Калі сервер дазваляе HTTP-запыты, зламыснік можа правесці ping сервер з дапамогай аднаго радка, які паказвае на выдалены сервер з інструкцыямі Java для выканання шкоднасных праграм. Калі адпраўлены ping сервер падлучаны да прылажэння Java, якое апрацоўвае Log4j, праграма Java апрацоўвае радок як каманду для выканання шкоднаснай праграмы. Унізе радка сервер ахвяры выконвае тое, што загадвае зламыснік. Арганізацыя бяспекі Sophos кажа, што выявіла сотні тысяч нападаў.
Знаёмыя твары
Раней мы пісалі пазнавальны артыкул аб вышэйзгаданай тэхнічнай эксплуатацыі ўразлівасці ў Log4j. Самай вялікай перадумовай для злоўжыванняў з'яўляецца магчымасць доступу да прыкладанняў Java, якія ўключаюць Log4j. У некаторых выпадках гэта дзіцячая гульня. Напрыклад, Apple выкарыстала iCloud Log4j для запісу імёнаў айфонаў. Змяніўшы назву мадэлі iPhone у iOS на інструкцыю для Java, аказалася, што можна ўзламаць серверы Apple.
У іншых выпадках на прыкладання менш лёгка паўплываць. Найбольшая пагроза зыходзіць ад зламыснікаў з вопытам, ведамі і існуючымі метадамі. Даследчыкі бяспекі з Netlab360 стварылі дзве сістэмы-прыманкі (прыманкі, рэд.), каб запрасіць напады на Java-прыкладанні з дапамогай Log4j. Такім чынам, даследчыкі прывабілі дзевяць новых варыяцый добра вядомых тыпаў шкоднасных праграм, у тым ліку MIRAI і Muhstik. Штамы шкоднасных праграм прызначаныя для злоўжывання Log4j. Звычайнай мэтай атакі з'яўляецца ўзмацненне бот-сетак для майнинга крыпта і DDoS-атак. Check Point Software правяла аналагічнае апытанне ў большым маштабе. За апошнія некалькі дзён сілавая арганізацыя зарэгістравала 846,000 тысяч нападаў.
абароны
Відавочна, што кіберзлачынцы шукаюць і выкарыстоўваюць уразлівыя версіі Log4j. Найбольш мэтазгоднай абаронай з'яўляецца і застаецца інвентарызацыя ўсіх прыкладанняў Log4j у асяроддзі. Калі пастаўшчык прыкладання, у якім выкарыстоўваецца Log4j, выпусціў абноўленую версію, рэкамендавана выпраўленне. Калі няма, то адключэнне - самы бяспечны варыянт. NCSC захоўвае агляд уразлівасці праграмнага забеспячэння, у якім апрацоўваецца Log4j.
У цяперашні час не рэкамендуецца распрацоўваць уласныя меры праграмнага забеспячэння або наладжваць працу Log4j. Уразлівасць мае варыяцыі. Microsoft, сярод іншага, выявіла некалькі варыянтаў правілаў, якія выкарыстоўваюцца для інструкцыі прыкладанням Java запускаць шкоднаснае праграмнае забеспячэнне. Check Point кажа пра больш чым 60 мутацыях.