Η σοβαρότητα της ευπάθειας στο Log4j κάθε άλλο παρά θεωρητική είναι. Κυβερνοεγκληματίες scan λιμάνια σε όλο τον κόσμο για να βρουν τρόπους εκμετάλλευσής τους. Οι ερευνητές ασφαλείας παρατήρησαν εκατοντάδες χιλιάδες επιθέσεις.
Τις τελευταίες ημέρες, το Check Point Software αναγνώρισε 470,000 προσπάθειες scan εταιρικά δίκτυα παγκοσμίως. ο scans εκτελούνται, μεταξύ άλλων, για την εύρεση διακομιστών που επιτρέπουν εξωτερικά αιτήματα HTTP. Τέτοιοι διακομιστές είναι επιρρεπείς στην εκμετάλλευση της περιβόητης ευπάθειας στη βιβλιοθήκη Java Log4j. Εάν ένας διακομιστής επιτρέπει αιτήματα HTTP, ένας εισβολέας μπορεί να κάνει ping στον διακομιστή με μία μόνο γραμμή που δείχνει σε έναν απομακρυσμένο διακομιστή με οδηγίες Java για εκτέλεση κακόβουλου λογισμικού. Εάν ο διακομιστής με ping είναι συνδεδεμένος σε μια εφαρμογή Java που επεξεργάζεται το Log4j, η εφαρμογή Java επεξεργάζεται τη γραμμή ως εντολή για την εκτέλεση του κακόβουλου λογισμικού. Στο κάτω μέρος της γραμμής, ο διακομιστής του θύματος εκτελεί αυτό που διατάσσει ένας εισβολέας. Η οργάνωση ασφαλείας Sophos λέει ότι έχει εντοπίσει εκατοντάδες χιλιάδες επιθέσεις.
Γνωστά πρόσωπα
Νωρίτερα γράψαμε ένα διαφωτιστικό άρθρο σχετικά με την προαναφερθείσα τεχνική λειτουργία της ευπάθειας στο Log4j. Η μεγαλύτερη προϋπόθεση για κατάχρηση είναι η δυνατότητα πρόσβασης σε εφαρμογές Java που ενσωματώνουν Log4j. Σε ορισμένες περιπτώσεις αυτό είναι παιδικό παιχνίδι. Για παράδειγμα, η Apple χρησιμοποίησε το iCloud Log4j για να καταγράψετε τα ονόματα των iPhone. Αλλάζοντας το όνομα του μοντέλου ενός iPhone στο iOS σε μια οδηγία για Java, αποδείχθηκε ότι ήταν δυνατό να σπάσουν οι διακομιστές της Apple.
Σε άλλες περιπτώσεις, οι εφαρμογές είναι λιγότερο εύκολο να επηρεαστούν. Η μεγαλύτερη απειλή προέρχεται από επιτιθέμενους με εμπειρία, γνώση και υπάρχουσες τεχνικές. Ερευνητές ασφαλείας από το Netlab360 δημιούργησαν δύο συστήματα δόλωμα (honeypots, εκδ.) για να προσκαλούν επιθέσεις σε εφαρμογές Java με το Log4j. Οι ερευνητές προσέλκυσαν έτσι εννέα νέες παραλλαγές γνωστών τύπων κακόβουλου λογισμικού, συμπεριλαμβανομένων των MIRAI και Muhstik. Τα στελέχη κακόβουλου λογισμικού έχουν σχεδιαστεί για κατάχρηση του Log4j. Ένας κοινός στόχος επίθεσης είναι η ενίσχυση των botnets για εξόρυξη κρυπτογράφησης και επιθέσεις DDoS. Η Check Point Software πραγματοποίησε παρόμοια έρευνα σε μεγαλύτερη κλίμακα. Τις τελευταίες ημέρες, η οργάνωση ασφαλείας κατέγραψε 846,000 επιθέσεις.
Άμυνα
Είναι προφανές ότι οι εγκληματίες του κυβερνοχώρου αναζητούν και εκμεταλλεύονται ευάλωτες εκδόσεις του Log4j. Η πιο ενδεδειγμένη άμυνα είναι και παραμένει η απογραφή όλων των εφαρμογών Log4j σε ένα περιβάλλον. Εάν ο προμηθευτής της εφαρμογής στην οποία χρησιμοποιείται το Log4j έχει κυκλοφορήσει μια ενημερωμένη έκδοση, συνιστάται η ενημέρωση κώδικα. Εάν όχι, η απενεργοποίηση είναι η ασφαλέστερη επιλογή. Το NCSC διατηρεί μια επισκόπηση της ευπάθειας του λογισμικού στο οποίο υποβάλλεται σε επεξεργασία το Log4j.
Προς το παρόν, κάθε άλλο παρά σκόπιμο είναι να αναπτύξετε τα δικά σας μέτρα λογισμικού ή να προσαρμόσετε τη λειτουργία του Log4j. Η ευπάθεια έχει παραλλαγές. Η Microsoft, μεταξύ άλλων, εντόπισε πολλές παραλλαγές του κανόνα που χρησιμοποιούνται για την εντολή σε εφαρμογές Java να εκτελούν κακόβουλο λογισμικό. Το Check Point κάνει λόγο για περισσότερες από 60 μεταλλάξεις.