Тежестта на уязвимостта в Log4j е всичко друго, но не и теоретична. Кибер престъпници scan пристанища по целия свят, за да намерят начини да ги експлоатират. Изследователите по сигурността наблюдаваха стотици хиляди атаки.
През последните няколко дни Check Point Software разпозна 470,000 XNUMX опита за scan корпоративни мрежи по целия свят. В scans се изпълняват, наред с други неща, за намиране на сървъри, които позволяват външни HTTP заявки. Такива сървъри са склонни да експлоатират прословутата уязвимост в Java библиотеката Log4j. Ако сървър позволява HTTP заявки, нападателят може да ping на сървъра с един ред, сочещ към отдалечен сървър с Java инструкции за изпълнение на зловреден софтуер. Ако пингованият сървър е свързан с Java приложение, което обработва Log4j, приложението Java обработва реда като команда за изпълнение на зловредния софтуер. В долната част на реда сървърът на жертвата изпълнява това, което нападателят нареди. Организацията за сигурност Sophos казва, че е идентифицирала стотици хиляди атаки.
Познати лица
По-рано написахме поучителна статия за гореспоменатата техническа работа на уязвимостта в Log4j. Най-голямата предпоставка за злоупотреба е възможността за достигане до Java приложения, включващи Log4j. В някои случаи това е детска игра. Например, Apple използва iCloud Log4j за запис на имената на iPhone. Чрез промяна на името на модела на iPhone в iOS на инструкция за Java, се оказа, че е възможно да се разбият сървърите на Apple.
В други случаи приложенията са по-малко лесни за въздействие. Най-голямата заплаха идва от нападатели с опит, знания и съществуващи техники. Изследователи по сигурността от Netlab360 създадоха две системи за примамка (honeypots, ред.), за да приканват атаки срещу Java приложения с Log4j. По този начин изследователите примамиха девет нови вариации на добре познати типове зловреден софтуер, включително MIRAI и Muhstik. Щамовете на зловреден софтуер са предназначени да злоупотребяват с Log4j. Често срещана цел на атаката е укрепването на ботнет за крипто копаене и DDoS атаки. Check Point Software проведе подобно проучване в по-голям мащаб. През последните няколко дни охранителната организация регистрира 846,000 XNUMX атаки.
Защита
Очевидно е, че кибер престъпниците търсят и използват уязвими версии на Log4j. Най-препоръчителната защита е и остава да се инвентаризират всички Log4j приложения в дадена среда. Ако доставчикът на приложението, в което се използва Log4j, е пуснал актуализирана версия, се препоръчва корекция. Ако не, деактивирането е най-безопасният вариант. NCSC поддържа преглед на уязвимостта на софтуера, в който се обработва Log4j.
В момента е всичко друго, но не и препоръчително да разработите свои собствени софтуерни мерки или да коригирате работата на Log4j. Уязвимостта има вариации. Microsoft, наред с други, откри множество варианти на правилото, използвано за инструктиране на Java приложенията да стартират зловреден софтуер. Check Point говори за повече от 60 мутации.