Závažnost chyby zabezpečení v Log4j není jen teoretická. Kyberzločinci scan porty po celém světě, aby našli způsoby, jak je využít. Bezpečnostní výzkumníci zaznamenali stovky tisíc útoků.
V posledních dnech společnost Check Point Software rozpoznala 470,000 XNUMX pokusů scan firemní sítě po celém světě. The scans se provádějí mimo jiné k nalezení serverů, které umožňují externí HTTP požadavky. Takové servery jsou náchylné ke zneužití nechvalně známé zranitelnosti v knihovně Java Log4j. Pokud server povoluje požadavky HTTP, může útočník pingnout server pomocí jediného řádku směřujícího na vzdálený server s instrukcemi Java pro spuštění malwaru. Pokud je pingovaný server připojen k aplikaci Java, která zpracovává Log4j, aplikace Java zpracuje řádek jako příkaz ke spuštění malwaru. Na konci řádku server oběti provede to, co si útočník objedná. Bezpečnostní organizace Sophos tvrdí, že identifikovala stovky tisíc útoků.
Známé tváře
Již dříve jsme napsali poučný článek o výše uvedeném technickém fungování zranitelnosti v Log4j. Největším předpokladem zneužití je schopnost dostat se k Java aplikacím obsahujícím Log4j. V některých případech je to dětská hra. Například Apple použil iCloud Log4j pro záznam jmen iPhonů. Změnou názvu modelu iPhonu v iOS na pokyn pro Javu se ukázalo, že je možné prolomit servery Apple.
V ostatních případech jsou aplikace méně snadno ovlivnitelné. Největší hrozbu představují útočníci se zkušenostmi, znalostmi a stávajícími technikami. Bezpečnostní výzkumníci z Netlab360 vytvořili dva návnady (honeypots, pozn. red.), aby vyzývali k útokům na Java aplikace pomocí Log4j. Výzkumníci tak nalákali devět nových variací známých typů malwaru, včetně MIRAI a Muhstik. Kmeny malwaru jsou navrženy tak, aby zneužily Log4j. Častým cílem útoků je posílení botnetů pro těžbu kryptoměn a DDoS útoky. Check Point Software provedl podobný průzkum ve větším měřítku. V posledních dnech bezpečnostní organizace zaregistrovala 846,000 XNUMX útoků.
Obrana
Je zřejmé, že počítačoví zločinci vyhledávají a zneužívají zranitelné verze Log4j. Nejvhodnější obranou je a zůstává inventarizace všech aplikací Log4j v prostředí. Pokud dodavatel aplikace, ve které je Log4j použit, vydal aktualizovanou verzi, doporučuje se záplatování. Pokud ne, deaktivace je nejbezpečnější možností. NCSC udržuje přehled o zranitelnosti softwaru, ve kterém je Log4j zpracováván.
V současné době není vhodné vyvíjet vlastní softwarová opatření nebo upravit fungování Log4j. Zranitelnost má různé varianty. Microsoft mimo jiné detekoval několik variant pravidla používaného k instruování Java aplikací, aby spouštěly malware. Check Point hovoří o více než 60 mutacích.