חומרת הפגיעות ב-Log4j היא הכל מלבד תיאורטית. פושעי סייבר scan נמלים ברחבי העולם כדי למצוא דרכים לנצל אותם. חוקרי אבטחה צפו במאות אלפי התקפות.
בימים האחרונים, צ'ק פוינט תוכנה זיהתה 470,000 ניסיונות לעשות זאת scan רשתות ארגוניות ברחבי העולם. ה scans מבוצעות, בין היתר, כדי למצוא שרתים המאפשרים בקשות HTTP חיצוניות. שרתים כאלה נוטים לנצל את הפגיעות הידועה לשמצה בספריית Java Log4j. אם שרת מאפשר בקשות HTTP, תוקף יכול לעשות פינג לשרת עם קו בודד המצביע על שרת מרוחק עם הוראות Java לביצוע תוכנות זדוניות. אם השרת המבודד מחובר לאפליקציית Java שמעבדת את Log4j, אפליקציית Java מעבדת את השורה כפקודה להפעלת התוכנה הזדונית. בתחתית השורה, השרת של הקורבן מבצע את מה שהתוקף מזמין. ארגון האבטחה Sophos אומר שהוא זיהה מאות אלפי התקפות.
פרצופים מוכרים
קודם לכן כתבנו מאמר מאיר עיניים על הפעולה הטכנית שהוזכרה לעיל של הפגיעות ב-Log4j. התנאי המוקדם הגדול ביותר לשימוש לרעה הוא היכולת להגיע ליישומי Java המשלבים את Log4j. במקרים מסוימים זהו משחק ילדים. לדוגמה, אפל השתמשה ב-iCloud Log4j כדי להקליט את השמות של מכשירי אייפון. על ידי שינוי שם הדגם של אייפון ב-iOS להוראה לג'אווה, התברר שניתן לפצח את השרתים של אפל.
במקרים אחרים פחות קל להשפיע על יישומים. האיום הגדול ביותר מגיע מתוקפים בעלי ניסיון, ידע וטכניקות קיימות. חוקרי אבטחה מ-Netlab360 הקימו שתי מערכות הטעיה (דבש, עורך) כדי להזמין התקפות על יישומי Java עם Log4j. החוקרים פיתו לפיכך תשע וריאציות חדשות של סוגי תוכנות זדוניות ידועות, כולל MIRAI ו- Muhstik. זני התוכנות הזדוניות נועדו לעשות שימוש לרעה ב-Log4j. יעד תקיפה נפוץ הוא חיזוק רשתות הבוט לכריית קריפטו והתקפות DDoS. צ'ק פוינט תוכנה ערכה סקר דומה בקנה מידה גדול יותר. בימים האחרונים רשם ארגון הביטחון 846,000 פיגועים.
גופי בטחון
ברור שפושעי סייבר מחפשים ומנצלים גרסאות פגיעות של Log4j. ההגנה המומלצת ביותר היא ונשארה למלא את כל יישומי Log4j בסביבה. אם הספק של האפליקציה בה נעשה שימוש ב-Log4j הוציא גרסה מעודכנת, מומלץ לבצע תיקון. אם לא, השבתה היא האפשרות הבטוחה ביותר. ה-NCSC שומר סקירה כללית על הפגיעות של תוכנה שבה מעובד Log4j.
כרגע זה הכל מלבד מומלץ לפתח אמצעי תוכנה משלך או להתאים את פעולת Log4j. לפגיעות יש וריאציות. מיקרוסופט, בין היתר, זיהתה גרסאות מרובות של הכלל המשמש להנחיית יישומי Java להפעיל תוכנות זדוניות. צ'ק פוינט מדבר על יותר מ-60 מוטציות.