Mae difrifoldeb y bregusrwydd yn Log4j yn ddim byd ond damcaniaethol. Troseddwyr seibr scan porthladdoedd ledled y byd i ddod o hyd i ffyrdd o fanteisio arnynt. Arsylwodd ymchwilwyr diogelwch gannoedd o filoedd o ymosodiadau.
Yn ystod yr ychydig ddyddiau diwethaf, cydnabu Check Point Software 470,000 o ymdrechion i wneud hynny scan rhwydweithiau corfforaethol ledled y byd. Yr scans yn cael eu perfformio, ymhlith pethau eraill, i ddod o hyd i weinyddion sy'n caniatáu ceisiadau HTTP allanol. Mae gweinyddwyr o'r fath yn dueddol o fanteisio ar y bregusrwydd gwaradwyddus yn llyfrgell Java Log4j. Os yw gweinydd yn caniatáu ceisiadau HTTP, gall ymosodwr pingio'r gweinydd gydag un llinell sy'n pwyntio at weinydd pell gyda chyfarwyddiadau Java ar gyfer gweithredu malware. Os yw'r gweinydd pinged wedi'i gysylltu â chymhwysiad Java sy'n prosesu Log4j, mae'r cymhwysiad Java yn prosesu'r llinell fel gorchymyn i weithredu'r malware. Ar waelod y llinell, mae gweinydd y dioddefwr yn gweithredu'r hyn y mae ymosodwr yn ei orchymyn. Dywed y sefydliad diogelwch Sophos ei fod wedi nodi cannoedd o filoedd o ymosodiadau.
Wynebau cyfarwydd
Yn gynharach fe wnaethom ysgrifennu erthygl oleuedig am weithrediad technegol y bregusrwydd a grybwyllir uchod yn Log4j. Y rhagamod mwyaf ar gyfer cam-drin yw'r gallu i gyrraedd cymwysiadau Java sy'n ymgorffori Log4j. Mewn rhai achosion, chwarae plant yw hyn. Er enghraifft, defnyddiodd Apple iCloud Log4j i gofnodi enwau iPhones. Trwy newid enw model iPhone yn iOS i gyfarwyddyd ar gyfer Java, roedd yn bosibl cracio gweinyddwyr Apple.
Mewn achosion eraill, mae ceisiadau yn llai hawdd i'w dylanwadu. Daw'r bygythiad mwyaf gan ymosodwyr sydd â phrofiad, gwybodaeth a thechnegau presennol. Sefydlodd ymchwilwyr diogelwch o Netlab360 ddwy system decoy (potiau mêl, gol.) i wahodd ymosodiadau ar gymwysiadau Java gyda Log4j. Felly denodd yr ymchwilwyr naw amrywiad newydd o fathau o malware adnabyddus, gan gynnwys MIRAI a Muhstik. Mae'r straeniau malware wedi'u cynllunio i gam-drin Log4j. Targed ymosodiad cyffredin yw atgyfnerthu botnets ar gyfer mwyngloddio crypto ac ymosodiadau DDoS. Cynhaliodd Check Point Software arolwg tebyg ar raddfa fwy. Yn ystod yr ychydig ddyddiau diwethaf, cofrestrodd y sefydliad diogelwch 846,000 o ymosodiadau.
Amddiffyniad
Mae’n amlwg bod troseddwyr seiber yn chwilio am fersiynau bregus o Log4j ac yn manteisio arnynt. Yr amddiffyniad mwyaf doeth yw rhestru holl gymwysiadau Log4j mewn amgylchedd ac mae'n parhau i fod felly. Os yw cyflenwr y rhaglen y defnyddir Log4j ynddo wedi rhyddhau fersiwn wedi'i diweddaru, argymhellir clytio. Os na, analluogi yw'r opsiwn mwyaf diogel. Mae'r NCSC yn cadw trosolwg o fregusrwydd meddalwedd y mae Log4j yn cael ei brosesu ynddo.
Ar hyn o bryd mae'n unrhyw beth ond yn ddoeth datblygu eich mesurau meddalwedd eich hun neu addasu gweithrediad Log4j. Mae gan y bregusrwydd amrywiadau. Canfu Microsoft, ymhlith eraill, amrywiadau lluosog o'r rheol a ddefnyddir i gyfarwyddo cymwysiadau Java i redeg meddalwedd maleisus. Mae Check Point yn sôn am fwy na 60 o dreigladau.