La severeco de la vundebleco en Log4j estas io ajn krom teoria. Ciberkrimuloj scan havenoj tutmonde por trovi manierojn ekspluati ilin. Sekurecaj esploristoj observis centojn da miloj da atakoj.
En la lastaj tagoj, Check Point Software rekonis 470,000 provojn scan kompaniaj retoj tutmonde. La scans estas faritaj, interalie, por trovi servilojn, kiuj permesas eksterajn HTTP-petojn. Tiaj serviloj estas emaj ekspluati la fifaman vundeblecon en Java biblioteko Log4j. Se servilo permesas HTTP-petojn, atakanto povas ping la servilon kun ununura linio montranta al fora servilo kun Java instrukcioj por malware ekzekuto. Se la pingita servilo estas konektita al Java-aplikaĵo, kiu prilaboras Log4j, la Java-apliko prilaboras la linion kiel komandon por ekzekuti la malware. Ĉe la fundo de la linio, la servilo de la viktimo efektivigas kion atakanto ordonas. Sekureca organizo Sophos diras, ke ĝi identigis centojn da miloj da atakoj.
Konataj vizaĝoj
Antaŭe ni skribis klarigantan artikolon pri la supre menciita teknika funkciado de la vundebleco en Log4j. La plej granda antaŭkondiĉo por misuzo estas la kapablo atingi Java-aplikaĵojn enkorpigantajn Log4j. En iuj kazoj ĉi tio estas infanludo. Ekzemple, Apple uzis iCloud Log4j por registri la nomojn de iPhones. Ŝanĝante la modelnomon de iPhone en iOS al instrukcio por Java, montriĝis eble fendi la servilojn de Apple.
En aliaj kazoj, aplikoj estas malpli facile influeblaj. La plej granda minaco venas de atakantoj kun sperto, scio kaj ekzistantaj teknikoj. Sekurecaj esploristoj de Netlab360 starigis du forlogsistemojn (honeypots, red.) por inviti atakojn kontraŭ Java-aplikoj kun Log4j. La esploristoj tiel logis naŭ novajn variaĵojn de konataj malware specoj, inkluzive de MIRAI kaj Muhstik. La malware trostreĉoj estas dizajnitaj por misuzi Log4j. Ofta atakcelo estas la plifortigo de botnetoj por kripta minado kaj DDoS-atakoj. Check Point Software faris similan enketon sur pli granda skalo. En la pasintaj tagoj, la sekureca organizo registris 846,000 XNUMX atakojn.
defendo
Estas evidente, ke ciberkrimuloj serĉas kaj ekspluatas vundeblajn versiojn de Log4j. La plej konsilinda defendo estas kaj restas inventari ĉiujn Log4j-aplikaĵojn en medio. Se la provizanto de la aplikaĵo, en kiu estas uzata Log4j, publikigis ĝisdatigitan version, oni rekomendas fliki. Se ne, malŝalti estas la plej sekura opcio. La NCSC konservas superrigardon de la vundebleco de programaro en kiu Log4j estas prilaborita.
Nuntempe estas ĉio krom konsilinde evoluigi viajn proprajn programarajn mezurojn aŭ alĝustigi la funkciadon de Log4j. La vundebleco havas variojn. Mikrosofto, inter aliaj, detektis multoblajn variantojn de la regulo uzata por instrui Java-aplikojn prizorgi malware. Check Point parolas pri pli ol 60 mutacioj.