Ozbiljnost ranjivosti u Log4j je sve samo ne teoretska. Cyber kriminalci scan lukama širom svijeta kako bi pronašli načine da ih iskoriste. Istraživači sigurnosti promatrali su stotine tisuća napada.
U proteklih nekoliko dana, Check Point Software je prepoznao 470,000 pokušaja scan korporativne mreže širom svijeta. The scans se izvode, između ostalog, za pronalaženje poslužitelja koji dopuštaju vanjske HTTP zahtjeve. Takvi poslužitelji su skloni iskorištavanju zloglasne ranjivosti u Java biblioteci Log4j. Ako poslužitelj dopušta HTTP zahtjeve, napadač može pingirati poslužitelj s jednom linijom koja pokazuje na udaljeni poslužitelj s Java uputama za izvršenje zlonamjernog softvera. Ako je pingirani poslužitelj povezan s Java aplikacijom koja obrađuje Log4j, Java aplikacija obrađuje liniju kao naredbu za izvršavanje zlonamjernog softvera. Na dnu reda, žrtvin poslužitelj izvršava ono što napadač naredi. Sigurnosna organizacija Sophos kaže da je identificirala stotine tisuća napada.
Poznata lica
Ranije smo napisali poučan članak o gore spomenutom tehničkom radu ranjivosti u Log4j-u. Najveći preduvjet za zlouporabu je mogućnost pristupa Java aplikacijama koje sadrže Log4j. U nekim slučajevima ovo je dječja igra. Na primjer, Apple je koristio iCloud Log4j za snimanje imena iPhone uređaja. Promjenom naziva modela iPhonea u iOS-u u uputu za Javu, pokazalo se da je moguće razbiti Appleove poslužitelje.
U drugim slučajevima, na aplikacije je manje lako utjecati. Najveća prijetnja dolazi od napadača s iskustvom, znanjem i postojećim tehnikama. Istraživači sigurnosti iz Netlab360 postavili su dva sustava za mamce (honeypots, ur.) kako bi pozvali na napade na Java aplikacije pomoću Log4j-a. Istraživači su tako namamili devet novih varijacija dobro poznatih vrsta zlonamjernog softvera, uključujući MIRAI i Muhstik. Sojevi zlonamjernog softvera dizajnirani su za zlouporabu Log4j. Uobičajeni cilj napada je jačanje botneta za kripto rudarenje i DDoS napade. Check Point Software proveo je slično istraživanje u većem opsegu. Proteklih dana zaštitarska organizacija zabilježila je 846,000 napada.
odbrana
Očito je da cyber kriminalci traže i iskorištavaju ranjive verzije Log4j-a. Najpreporučljivija obrana je i ostaje popisati sve Log4j aplikacije u okruženju. Ako je dobavljač aplikacije u kojoj se koristi Log4j objavio ažuriranu verziju, preporučuje se zakrpa. Ako nije, onemogućavanje je najsigurnija opcija. NCSC vodi pregled ranjivosti softvera u kojem se obrađuje Log4j.
Trenutno je sve samo ne preporučljivo razviti vlastite softverske mjere ili prilagoditi rad Log4j-a. Ranjivost ima varijacije. Microsoft je, između ostalih, otkrio više varijanti pravila koje se koriste za upućivanje Java aplikacija na pokretanje zlonamjernog softvera. Check Point govori o više od 60 mutacija.