Keterukan kelemahan dalam Log4j tidak lain adalah teori. Penjenayah siber scan pelabuhan di seluruh dunia untuk mencari cara untuk mengeksploitasinya. Penyelidik keselamatan memerhati ratusan ribu serangan.
Dalam beberapa hari yang lalu, Perisian Check Point mengiktiraf 470,000 percubaan untuk scan rangkaian korporat di seluruh dunia. The scans dilakukan, antara lain, untuk mencari pelayan yang membenarkan permintaan HTTP luaran. Pelayan sedemikian terdedah untuk mengeksploitasi kerentanan yang terkenal dalam perpustakaan Java Log4j. Jika pelayan membenarkan permintaan HTTP, penyerang boleh ping pelayan dengan satu baris menunjuk ke pelayan jauh dengan arahan Java untuk pelaksanaan perisian hasad. Jika pelayan ping disambungkan ke aplikasi Java yang memproses Log4j, aplikasi Java memproses baris sebagai arahan untuk melaksanakan perisian hasad. Di bahagian bawah baris, pelayan mangsa melaksanakan apa yang diperintahkan oleh penyerang. Pertubuhan keselamatan Sophos berkata ia telah mengenal pasti ratusan ribu serangan.
Muka biasa
Terdahulu, kami telah menulis artikel yang mencerahkan tentang operasi teknikal kelemahan yang disebutkan di atas dalam Log4j. Prasyarat terbesar untuk penyalahgunaan ialah keupayaan untuk mencapai aplikasi Java yang menggabungkan Log4j. Dalam sesetengah kes ini adalah permainan kanak-kanak. Sebagai contoh, Apple menggunakan iCloud Log4j untuk merekodkan nama iPhone. Dengan menukar nama model iPhone dalam iOS kepada arahan untuk Java, ternyata mungkin untuk memecahkan pelayan Apple.
Dalam kes lain, aplikasi kurang mudah dipengaruhi. Ancaman terbesar datang daripada penyerang dengan pengalaman, pengetahuan dan teknik sedia ada. Penyelidik keselamatan dari Netlab360 menyediakan dua sistem umpan (honeypots, ed.) untuk menjemput serangan pada aplikasi Java dengan Log4j. Oleh itu, para penyelidik memikat sembilan variasi baharu jenis perisian hasad yang terkenal, termasuk MIRAI dan Muhstik. Jenis malware direka untuk menyalahgunakan Log4j. Sasaran serangan biasa ialah pengukuhan botnet untuk perlombongan kripto dan serangan DDoS. Perisian Check Point menjalankan tinjauan serupa pada skala yang lebih besar. Dalam beberapa hari lalu, organisasi keselamatan itu mencatatkan 846,000 serangan.
Pertahanan
Jelas sekali bahawa penjenayah siber mencari dan mengeksploitasi versi Log4j yang terdedah. Pertahanan yang paling dinasihatkan adalah dan kekal untuk menginventori semua aplikasi Log4j dalam persekitaran. Jika pembekal aplikasi di mana Log4j digunakan telah mengeluarkan versi yang dikemas kini, penampalan disyorkan. Jika tidak, melumpuhkan adalah pilihan paling selamat. NCSC menyimpan gambaran keseluruhan tentang kelemahan perisian di mana Log4j diproses.
Pada masa ini adalah dinasihatkan untuk membangunkan langkah perisian anda sendiri atau melaraskan operasi Log4j. Kerentanan mempunyai variasi. Microsoft, antara lain, mengesan pelbagai variasi peraturan yang digunakan untuk mengarahkan aplikasi Java menjalankan perisian hasad. Check Point bercakap tentang lebih daripada 60 mutasi.