Alvarleiki veikleikans í Log4j er allt annað en fræðilegur. Netglæpamenn scan hafnir um allan heim til að finna leiðir til að nýta þær. Öryggisrannsakendur fylgdust með hundruðum þúsunda árása.
Undanfarna daga hefur Check Point Software viðurkennt 470,000 tilraunir til að scan fyrirtækjanet um allan heim. The scans eru gerðar, meðal annars, til að finna netþjóna sem leyfa ytri HTTP beiðnir. Slíkir netþjónar eru líklegir til að nýta sér hið alræmda varnarleysi í Java bókasafninu Log4j. Ef þjónn leyfir HTTP beiðnir getur árásarmaður pingað þjóninn með einni línu sem vísar á ytri netþjón með Java leiðbeiningum um framkvæmd spilliforrita. Ef pingaði þjónninn er tengdur við Java forrit sem vinnur Log4j vinnur Java forritið línuna sem skipun til að keyra spilliforritið. Neðst í línunni framkvæmir þjónn fórnarlambsins það sem árásarmaður pantar. Öryggissamtökin Sophos segjast hafa borið kennsl á hundruð þúsunda árása.
Kunnugleg andlit
Áður skrifuðum við fræðandi grein um ofangreinda tæknilega aðgerð á varnarleysinu í Log4j. Stærsta forsenda misnotkunar er hæfileikinn til að ná til Java forrita sem innihalda Log4j. Í sumum tilfellum er þetta barnaleikur. Til dæmis notaði Apple iCloud Log4j til að skrá nöfn iPhones. Með því að breyta tegundarheiti iPhone í iOS í leiðbeiningar fyrir Java, reyndist hægt að klikka á netþjónum Apple.
Í öðrum tilvikum er minna auðvelt að hafa áhrif á umsóknir. Stærsta ógnin stafar af árásarmönnum með reynslu, þekkingu og núverandi tækni. Öryggisrannsakendur frá Netlab360 settu upp tvö tálbeitukerfi (honeypots, ritstj.) til að bjóða árásir á Java forrit með Log4j. Rannsakendur tældu því níu nýjar afbrigði af vel þekktum spilliforritum, þar á meðal MIRAI og Muhstik. Spilliforritastofnarnir eru hannaðir til að misnota Log4j. Algengt árásarmarkmið er styrking botneta fyrir dulmálsnám og DDoS árásir. Check Point Software gerði svipaða könnun á stærri skala. Undanfarna daga hafa öryggissamtökin skráð 846,000 árásir.
Defense
Það er augljóst að netglæpamenn leita uppi og nýta viðkvæmar útgáfur af Log4j. Ráðlegasta vörnin er og er enn að skrá öll Log4j forrit í umhverfi. Ef birgir forritsins sem Log4j er notað í hefur gefið út uppfærða útgáfu er mælt með plástra. Ef ekki, þá er óvirkt öruggasti kosturinn. NCSC heldur yfirsýn yfir varnarleysi hugbúnaðar sem Log4j er unnið í.
Sem stendur er allt annað en ráðlegt að þróa eigin hugbúnaðarráðstafanir eða aðlaga rekstur Log4j. Varnarleysið hefur afbrigði. Microsoft, meðal annarra, uppgötvaði mörg afbrigði af reglunni sem notuð var til að kenna Java forritum að keyra spilliforrit. Check Point talar um meira en 60 stökkbreytingar.