Log4j ievainojamības nopietnība ir tikai teorētiska. Kibernoziedznieki scan ostas visā pasaulē, lai atrastu veidus, kā tās izmantot. Drošības pētnieki novēroja simtiem tūkstošu uzbrukumu.
Dažu pēdējo dienu laikā Check Point Software atpazina 470,000 XNUMX mēģinājumu scan korporatīvie tīkli visā pasaulē. The scans tiek veiktas, cita starpā, lai atrastu serverus, kas pieļauj ārējos HTTP pieprasījumus. Šādi serveri var izmantot bēdīgi slaveno Java bibliotēkas Log4j ievainojamību. Ja serveris atļauj HTTP pieprasījumus, uzbrucējs var nosūtīt serverim ping ar vienu rindiņu, kas norāda uz attālo serveri ar Java norādījumiem ļaunprātīgas programmatūras izpildei. Ja ping serveris ir savienots ar Java lietojumprogrammu, kas apstrādā Log4j, Java lietojumprogramma apstrādā rindiņu kā komandu, lai izpildītu ļaunprātīgu programmatūru. Rindas apakšā upura serveris izpilda to, ko uzbrucējs pavēl. Drošības organizācija Sophos paziņojusi, ka ir identificējusi simtiem tūkstošu uzbrukumu.
Pazīstamas sejas
Iepriekš mēs rakstījām izglītojošu rakstu par iepriekš minēto Log4j ievainojamības tehnisko darbību. Lielākais priekšnoteikums ļaunprātīgai izmantošanai ir spēja sasniegt Java lietojumprogrammas, kurās ir iekļauts Log4j. Dažos gadījumos tā ir bērnu spēle. Piemēram, Apple izmantoja iCloud Log4j, lai ierakstītu iPhone tālruņu nosaukumus. Mainot iPhone modeļa nosaukumu operētājsistēmā iOS uz Java instrukciju, izrādījās, ka ir iespējams uzlauzt Apple serverus.
Citos gadījumos lietojumprogrammas ir mazāk viegli ietekmējamas. Vislielākos draudus rada uzbrucēji ar pieredzi, zināšanām un esošajām metodēm. Drošības pētnieki no Netlab360 izveidoja divas mānekļu sistēmas (honeypots, red.), lai aicinātu uzbrukt Java lietojumprogrammām, izmantojot Log4j. Tādējādi pētnieki piesaistīja deviņas jaunas labi zināmu ļaunprātīgas programmatūras veidu variācijas, tostarp MIRAI un Muhstik. Ļaunprātīgas programmatūras celmi ir paredzēti, lai ļaunprātīgi izmantotu Log4j. Izplatīts uzbrukuma mērķis ir robottīklu pastiprināšana šifrēšanas ieguvei un DDoS uzbrukumiem. Check Point Software veica līdzīgu aptauju plašākā mērogā. Pēdējo dienu laikā drošības organizācija reģistrējusi 846,000 XNUMX uzbrukumu.
aizstāvēšana
Ir skaidrs, ka kibernoziedznieki meklē un izmanto neaizsargātās Log4j versijas. Vispiemērotākā aizsardzība ir un paliek visu Log4j lietojumprogrammu inventarizācija vidē. Ja lietojumprogrammas piegādātājs, kurā tiek izmantots Log4j, ir izlaidis atjauninātu versiju, ieteicams labot. Ja nē, atspējošana ir drošākā iespēja. NCSC saglabā pārskatu par programmatūras ievainojamību, kurā tiek apstrādāts Log4j.
Pašlaik ir nekas cits, kā tikai ieteicams izstrādāt savus programmatūras pasākumus vai pielāgot Log4j darbību. Ievainojamībai ir atšķirības. Korporācija Microsoft, cita starpā, atklāja vairākus noteikuma variantus, ko izmanto, lai norādītu Java lietojumprogrammas palaist ļaunprātīgu programmatūru. Check Point runā par vairāk nekā 60 mutācijām.