A Log4j biztonsági résének súlyossága nem elméleti. Kiberbűnözők scan portokat világszerte, hogy megtalálják a kiaknázásuk módját. A biztonsági kutatók több százezer támadást figyeltek meg.
Az elmúlt napokban a Check Point Software 470,000 XNUMX kísérletet ismerte fel scan vállalati hálózatok világszerte. Az scans többek között a külső HTTP kéréseket lehetővé tevő szerverek megtalálására is sor kerül. Az ilyen kiszolgálók hajlamosak kihasználni a Log4j Java könyvtár hírhedt biztonsági rését. Ha egy szerver engedélyezi a HTTP-kéréseket, a támadó egyetlen sorral pingelni tudja a szervert, amely egy távoli kiszolgálóra mutat Java utasításokkal a rosszindulatú programok végrehajtásához. Ha a pingált szerver egy Log4j-t feldolgozó Java-alkalmazáshoz csatlakozik, a Java-alkalmazás parancsként dolgozza fel a sort a rosszindulatú program végrehajtására. A sor alján az áldozat szervere végrehajtja azt, amit a támadó parancsol. A Sophos biztonsági szervezet azt állítja, hogy több százezer támadást azonosított.
Ismerős arcok
Korábban írtunk egy felvilágosító cikket a Log4j biztonsági résének fent említett technikai működéséről. A visszaélések legnagyobb előfeltétele a Log4j-t tartalmazó Java alkalmazások elérése. Bizonyos esetekben ez gyerekjáték. Például az Apple az iCloud Log4j az iPhone készülékek nevének rögzítéséhez. Az iOS-ben lévő iPhone modellnevének Java-ra való módosításával kiderült, hogy feltörhető az Apple szervere.
Más esetekben az alkalmazások kevésbé könnyen befolyásolhatók. A legnagyobb veszélyt a tapasztalattal, tudással és meglévő technikákkal rendelkező támadók jelentik. A Netlab360 biztonsági kutatói két csalirendszert (szerk.: Honeypots) hoztak létre, hogy a Log4j segítségével támadásokat kezdeményezzenek Java alkalmazások ellen. A kutatók így kilenc új változatot csábítottak el a jól ismert malware típusok közül, köztük a MIRAI-t és a Muhstikot. A rosszindulatú programtörzsek célja a Log4j visszaélése. Gyakori támadási célpont a botnetek megerősítése a kriptobányászat és a DDoS támadások számára. A Check Point Software hasonló felmérést végzett nagyobb léptékben. Az elmúlt napokban 846,000 XNUMX támadást regisztrált a biztonsági szervezet.
Védelem
Nyilvánvaló, hogy a kiberbűnözők felkutatják és kihasználják a Log4j sebezhető verzióit. A legcélszerűbb védekezés az összes Log4j alkalmazás leltározása egy környezetben. Ha a Log4j-t használó alkalmazás szállítója frissített verziót adott ki, a javítás javasolt. Ha nem, a letiltás a legbiztonságosabb megoldás. Az NCSC áttekintést nyújt a Log4j-t feldolgozó szoftverek sebezhetőségeiről.
Jelenleg minden, csak nem tanácsos saját szoftveres intézkedéseket kidolgozni vagy a Log4j működését módosítani. A sebezhetőségnek vannak változatai. A Microsoft többek között több változatát is észlelte annak a szabálynak, amellyel a Java-alkalmazásokat rosszindulatú programok futtatására utasították. A Check Point több mint 60 mutációról beszél.