Log4j-ի խոցելիության խստությունը ամեն ինչ, քան տեսական է: Կիբերհանցագործներ scan նավահանգիստներն ամբողջ աշխարհում՝ դրանց շահագործման ուղիներ գտնելու համար: Անվտանգության հետազոտողները նկատել են հարյուր հազարավոր հարձակումներ:
Անցած մի քանի օրվա ընթացքում Check Point Software-ը ճանաչել է 470,000 փորձ scan կորպորատիվ ցանցեր ամբողջ աշխարհում: Այն scans-ն իրականացվում է, ի թիվս այլ բաների, գտնելու սերվերներ, որոնք թույլ են տալիս արտաքին HTTP հարցումներ: Նման սերվերները հակված են շահագործելու Java գրադարանի Log4j-ի տխրահռչակ խոցելիությունը: Եթե սերվերը թույլ է տալիս HTTP հարցումներ, հարձակվողը կարող է սերվերին ping ուղարկել մեկ տողով, որը մատնացույց է անում դեպի հեռավոր սերվերը Java ցուցումներով չարամիտ ծրագրերի իրականացման համար: Եթե pinged սերվերը միացված է Java հավելվածին, որը մշակում է Log4j-ը, Java հավելվածը մշակում է տողը որպես չարամիտ ծրագիր գործարկելու հրաման: Գծի ներքևի մասում զոհի սերվերը կատարում է այն, ինչ պատվիրում է հարձակվողը: Անվտանգության Sophos կազմակերպությունն ասում է, որ հայտնաբերել է հարյուր հազարավոր հարձակումներ:
Ծանոթ դեմքեր
Ավելի վաղ մենք մի լուսավոր հոդված էինք գրել Log4j-ում խոցելիության վերը նշված տեխնիկական շահագործման մասին։ Չարաշահման ամենամեծ նախապայմանը Log4j-ով ներառող Java հավելվածներին հասնելու հնարավորությունն է: Որոշ դեպքերում սա մանկական խաղ է: Օրինակ՝ Apple-ն օգտագործել է iCloud Log4j՝ iPhone-ների անունները ձայնագրելու համար: IOS-ում iPhone-ի մոդելի անունը փոխելով Java-ի հրահանգի, պարզվեց, որ հնարավոր է կոտրել Apple-ի սերվերները։
Այլ դեպքերում, հավելվածների վրա ավելի քիչ հեշտ է ազդել: Ամենամեծ սպառնալիքը գալիս է փորձով, գիտելիքներով և առկա տեխնիկայով հարձակվողներից: Անվտանգության հետազոտողները Netlab360-ից ստեղծել են երկու խաբուսիկ համակարգ (honeypots, խմբ.)՝ Log4j-ով Java հավելվածների վրա հարձակումներ հրավիրելու համար: Հետազոտողները այսպիսով գայթակղեցին հայտնի չարամիտ տեսակների ինը նոր տարբերակներ, ներառյալ MIRAI-ն և Muhstik-ը: Չարամիտ ծրագրերի շտամները նախատեսված են Log4j-ի չարաշահման համար: Հարձակման ընդհանուր թիրախը կրիպտո մայնինգի և DDoS գրոհների համար բոտնետների ամրապնդումն է: Check Point Software-ը նմանատիպ հարցում է անցկացրել ավելի մեծ մասշտաբով: Անցած մի քանի օրվա ընթացքում անվտանգության կազմակերպությունը գրանցել է 846,000 հազար հարձակում։
պաշտպանություն
Ակնհայտ է, որ կիբերհանցագործները փնտրում և շահագործում են Log4j-ի խոցելի տարբերակները: Առավել նպատակահարմար պաշտպանությունը դա և մնում է Log4j հավելվածների գույքագրումը միջավայրում: Եթե հավելվածի մատակարարը, որում օգտագործվում է Log4j-ը, թողարկել է թարմացված տարբերակը, խորհուրդ է տրվում կարկատել: Եթե ոչ, ապա անջատելն ամենաապահով տարբերակն է: NCSC-ն ակնարկ է պահում ծրագրաշարի խոցելիության մասին, որում մշակվում է Log4j-ը:
Ներկայումս ամեն ինչ, քան նպատակահարմար է մշակել ձեր սեփական ծրագրային միջոցները կամ կարգավորել Log4j-ի աշխատանքը: Խոցելիությունն ունի տատանումներ. Microsoft-ը, ի թիվս այլոց, հայտնաբերել է կանոնի մի քանի տարբերակներ, որոնք օգտագործվում են Java հավելվածներին չարամիտ գործարկելու հրահանգներ տալու համար: Check Point-ը խոսում է ավելի քան 60 մուտացիաների մասին։