Log4j haavatavuse raskusaste on kõike muud kui teoreetiline. Küberkurjategijad scan sadamates üle maailma, et leida viise nende kasutamiseks. Turvateadlased jälgisid sadu tuhandeid rünnakuid.
Viimaste päevade jooksul tuvastas Check Point Software 470,000 XNUMX katset scan ettevõtete võrgud üle maailma. The scans tehakse muuhulgas väliseid HTTP päringuid lubavate serverite leidmiseks. Sellised serverid kasutavad ära Java teegi Log4j kurikuulsat haavatavust. Kui server lubab HTTP-päringuid, saab ründaja pingida serverile ühe reaga, mis osutab kaugserverile ja millel on Java juhised pahavara käivitamiseks. Kui pingestatud server on ühendatud Java-rakendusega, mis töötleb Log4j-d, töötleb Java-rakendus seda rida käsuna pahavara käivitamiseks. Rea allosas täidab ohvri server seda, mida ründaja käsib. Turvaorganisatsioon Sophos ütleb, et on tuvastanud sadu tuhandeid rünnakuid.
Tuttavad näod
Varem kirjutasime õpetliku artikli ülalmainitud Log4j haavatavuse tehnilisest toimimisest. Kuritarvitamise suurim eeltingimus on võimalus jõuda Log4j-d sisaldavate Java rakendusteni. Mõnel juhul on see lapsemäng. Näiteks Apple kasutas iCloud Log4j iPhone'ide nimede salvestamiseks. Muutes iOS-is iPhone'i mudelinime Java jaoks mõeldud juhiseks, osutus võimalikuks Apple'i serverite murdmine.
Muudel juhtudel on rakendusi vähem lihtne mõjutada. Suurim oht on kogemuste, teadmiste ja olemasoleva tehnikaga ründajatest. Netlab360 turvateadlased seadsid kaks peibutussüsteemi (honeypots, toim), et kutsuda Log4j abil Java rakendusi ründama. Teadlased meelitasid seega üheksa uut variatsiooni tuntud pahavaratüüpidest, sealhulgas MIRAI ja Muhstik. Pahavara tüved on loodud Log4j kuritarvitamiseks. Levinud rünnakute sihtmärk on botnettide tugevdamine krüptokaevandamise ja DDoS-i rünnakute jaoks. Check Point Software viis läbi sarnase uuringu laiemas mastaabis. Viimaste päevade jooksul registreeris turvaorganisatsioon 846,000 XNUMX rünnakut.
kaitse
On ilmne, et küberkurjategijad otsivad ja kasutavad Log4j haavatavaid versioone. Kõige soovitatavam kaitse on ja jääb kõigi Log4j rakenduste inventuur keskkonnas. Kui selle rakenduse tarnija, milles Log4j kasutatakse, on välja andnud värskendatud versiooni, on soovitatav paikamine. Kui ei, on keelamine kõige turvalisem valik. NCSC hoiab ülevaadet selle tarkvara haavatavusest, milles Log4j töödeldakse.
Praegu on kõike muud, kui soovitav ise välja töötada tarkvarameetmed või kohandada Log4j tööd. Haavatavusel on variatsioone. Microsoft tuvastas muuhulgas mitu reegli varianti, mida kasutatakse Java-rakendustele pahavara käitamiseks. Check Point räägib enam kui 60 mutatsioonist.