Log4j:n haavoittuvuuden vakavuus on kaikkea muuta kuin teoreettista. Kyberrikolliset scan satamat ympäri maailmaa löytääkseen tapoja hyödyntää niitä. Turvallisuustutkijat havaitsivat satoja tuhansia hyökkäyksiä.
Viime päivinä Check Point Software tunnisti 470,000 XNUMX yritystä scan yritysverkostot maailmanlaajuisesti. The scans suoritetaan muun muassa ulkoisten HTTP-pyyntöjen sallivien palvelimien löytämiseksi. Tällaiset palvelimet ovat alttiita hyödyntämään Java-kirjaston Log4j surullisen haavoittuvuutta. Jos palvelin sallii HTTP-pyynnöt, hyökkääjä voi pingata palvelimelle yhdellä rivillä, joka osoittaa etäpalvelimeen ja sisältää Java-ohjeet haittaohjelmien suorittamista varten. Jos pingoitu palvelin on yhdistetty Java-sovellukseen, joka käsittelee Log4j:tä, Java-sovellus käsittelee rivin komentona haittaohjelman suorittamiseksi. Rivin alaosassa uhrin palvelin suorittaa sen, mitä hyökkääjä käskee. Turvallisuusjärjestö Sophos sanoo tunnistaneensa satoja tuhansia hyökkäyksiä.
Tutut kasvot
Aiemmin kirjoitimme valaisevan artikkelin yllä mainitusta Log4j:n haavoittuvuuden teknisestä toiminnasta. Väärinkäytön suurin edellytys on mahdollisuus päästä käsiksi Log4j:tä sisältäviin Java-sovelluksiin. Joissakin tapauksissa tämä on lasten leikkiä. Esimerkiksi Apple käytti iCloud Log4j tallentaa iPhonen nimet. Vaihtamalla iPhonen mallinimi iOS:ssä Java-ohjeeksi osoittautui mahdolliseksi murtaa Applen palvelimia.
Muissa tapauksissa sovelluksiin on vähemmän helppo vaikuttaa. Suurin uhka tulee hyökkääjiltä, joilla on kokemusta, tietoa ja olemassa olevia tekniikoita. Netlab360:n tietoturvatutkijat perustivat kaksi houkutusjärjestelmää (honeypots, toim.) kutsuakseen hyökkäyksiä Java-sovelluksia vastaan Log4j:n avulla. Näin tutkijat houkuttelivat yhdeksän uutta muunnelmaa tunnetuista haittaohjelmatyypeistä, mukaan lukien MIRAI ja Muhstik. Haittaohjelmakannat on suunniteltu käyttämään Log4j:tä väärin. Yleinen hyökkäyskohde on bottiverkkojen vahvistaminen kryptolouhintaa ja DDoS-hyökkäyksiä varten. Check Point Software teki samanlaisen tutkimuksen laajemmassa mittakaavassa. Viime päivinä turvallisuusorganisaatio on rekisteröinyt 846,000 XNUMX hyökkäystä.
Puolustus
On selvää, että kyberrikolliset etsivät ja käyttävät hyväkseen Log4j:n haavoittuvia versioita. Suositeltavin puolustus on ja on edelleen inventoida kaikki Log4j-sovellukset ympäristössä. Jos Log4j:tä käyttävän sovelluksen toimittaja on julkaissut päivitetyn version, korjaus on suositeltavaa. Jos ei, käytöstä poistaminen on turvallisin vaihtoehto. NCSC pitää yleiskatsauksen niiden ohjelmistojen haavoittuvuuksista, joissa Log4j:tä käsitellään.
Tällä hetkellä on kaikkea muuta kuin suositeltavaa kehittää omia ohjelmistotoimia tai säätää Log4j:n toimintaa. Haavoittuvuudella on vaihtelua. Microsoft havaitsi muun muassa useita muunnelmia säännöstä, jolla Java-sovelluksia ohjattiin suorittamaan haittaohjelmia. Check Point puhuu yli 60 mutaatiosta.