La gravetat de la vulnerabilitat a Log4j és qualsevol cosa menys teòrica. Ciberdelinqüents scan ports de tot el món per trobar maneres d'explotar-los. Els investigadors de seguretat van observar centenars de milers d'atacs.
En els últims dies, Check Point Software va reconèixer 470,000 intents scan xarxes corporatives a tot el món. El scans es realitzen, entre altres coses, per trobar servidors que permetin peticions HTTP externes. Aquests servidors són propensos a explotar la infame vulnerabilitat de la biblioteca de Java Log4j. Si un servidor permet sol·licituds HTTP, un atacant pot fer ping al servidor amb una única línia que apunta a un servidor remot amb instruccions Java per a l'execució de programari maliciós. Si el servidor amb ping està connectat a una aplicació Java que processa Log4j, l'aplicació Java processa la línia com a ordre per executar el programari maliciós. A la part inferior de la línia, el servidor de la víctima executa el que ordena un atacant. L'organització de seguretat Sophos diu que ha identificat centenars de milers d'atacs.
Cares conegudes
Abans vam escriure un article aclaridor sobre el funcionament tècnic esmentat de la vulnerabilitat a Log4j. La condició prèvia més gran per a l'abús és la possibilitat d'arribar a aplicacions Java que incorporen Log4j. En alguns casos això és un joc de nens. Per exemple, Apple va utilitzar iCloud Log4j per gravar els noms dels iPhones. En canviar el nom del model d'un iPhone a iOS per una instrucció per a Java, va resultar que era possible trencar els servidors d'Apple.
En altres casos, les aplicacions són menys fàcils d'influir. La major amenaça prové dels atacants amb experiència, coneixements i tècniques existents. Els investigadors de seguretat de Netlab360 van establir dos sistemes d'engany (honeypots, ed.) per convidar atacs a aplicacions Java amb Log4j. Així, els investigadors van atraure nou noves variacions de tipus de programari maliciós coneguts, inclosos MIRAI i Muhstik. Les soques de programari maliciós estan dissenyades per abusar de Log4j. Un objectiu comú d'atac és el reforç de les botnets per a la mineria criptogràfica i els atacs DDoS. Check Point Software va realitzar una enquesta similar a una escala més gran. En els últims dies, l'organització de seguretat va registrar 846,000 atacs.
defensa
És obvi que els ciberdelinqüents busquen i exploten versions vulnerables de Log4j. La defensa més aconsellable és i segueix sent inventariar totes les aplicacions Log4j en un entorn. Si el proveïdor de l'aplicació en què s'utilitza Log4j ha publicat una versió actualitzada, es recomana aplicar pedaços. Si no, desactivar és l'opció més segura. El NCSC manté una visió general de la vulnerabilitat del programari en què es processa Log4j.
Actualment, no és recomanable desenvolupar les teves pròpies mesures de programari o ajustar el funcionament de Log4j. La vulnerabilitat té variacions. Microsoft, entre d'altres, va detectar diverses variants de la regla que s'utilitza per indicar a les aplicacions Java que executin programari maliciós. Check Point parla de més de 60 mutacions.