Sværhedsgraden af sårbarheden i Log4j er alt andet end teoretisk. Cyberkriminelle scan havne over hele verden for at finde måder at udnytte dem på. Sikkerhedsforskere observerede hundredtusindvis af angreb.
I de sidste par dage har Check Point Software genkendt 470,000 forsøg på at scan virksomhedsnetværk verden over. Det scans udføres blandt andet for at finde servere, der tillader eksterne HTTP-anmodninger. Sådanne servere er tilbøjelige til at udnytte den berygtede sårbarhed i Java-biblioteket Log4j. Hvis en server tillader HTTP-anmodninger, kan en angriber pinge serveren med en enkelt linje, der peger på en fjernserver med Java-instruktioner til udførelse af malware. Hvis den pingede server er forbundet til en Java-applikation, der behandler Log4j, behandler Java-applikationen linjen som en kommando til at udføre malwaren. Nederst på linjen udfører offerets server, hvad en angriber beordrer. Sikkerhedsorganisationen Sophos siger, at den har identificeret hundredtusindvis af angreb.
Kendte ansigter
Tidligere skrev vi en oplysende artikel om den ovennævnte tekniske drift af sårbarheden i Log4j. Den største forudsætning for misbrug er evnen til at nå Java-applikationer med Log4j. I nogle tilfælde er dette en barneleg. For eksempel brugte Apple iCloud Log4j for at registrere navnene på iPhones. Ved at ændre modelnavnet på en iPhone i iOS til en instruktion til Java, viste det sig at være muligt at knække Apples servere.
I andre tilfælde er applikationer mindre nemme at påvirke. Den største trussel kommer fra angribere med erfaring, viden og eksisterende teknikker. Sikkerhedsforskere fra Netlab360 oprettede to lokkesystemer (honeypots, red.) for at invitere til angreb på Java-applikationer med Log4j. Forskerne lokkede således ni nye varianter af velkendte malware-typer, herunder MIRAI og Muhstik. Malware-stammerne er designet til at misbruge Log4j. Et almindeligt angrebsmål er forstærkning af botnets til kryptomining og DDoS-angreb. Check Point Software gennemførte en lignende undersøgelse i større skala. I de seneste par dage har sikkerhedsorganisationen registreret 846,000 angreb.
Forsvar
Det er indlysende, at cyberkriminelle opsøger og udnytter sårbare versioner af Log4j. Det mest tilrådelige forsvar er og forbliver at inventere alle Log4j-applikationer i et miljø. Hvis leverandøren af den applikation, som Log4j bruges i, har udgivet en opdateret version, anbefales patchning. Hvis ikke, er deaktivering den sikreste mulighed. NCSC holder overblik over sårbarheden af software, hvori Log4j behandles.
Det er i øjeblikket alt andet end tilrådeligt at udvikle dine egne softwareforanstaltninger eller at justere driften af Log4j. Sårbarheden har variationer. Microsoft har blandt andre opdaget flere varianter af reglen, der bruges til at instruere Java-applikationer til at køre malware. Check Point taler om mere end 60 mutationer.