Alvorlighetsgraden av sårbarheten i Log4j er alt annet enn teoretisk. Cyberkriminelle scan havner over hele verden for å finne måter å utnytte dem på. Sikkerhetsforskere observerte hundretusenvis av angrep.
I løpet av de siste dagene har Check Point Software gjenkjent 470,000 XNUMX forsøk på å scan bedriftsnettverk over hele verden. De scans utføres blant annet for å finne servere som tillater eksterne HTTP-forespørsler. Slike servere er tilbøyelige til å utnytte den beryktede sårbarheten i Java-biblioteket Log4j. Hvis en server tillater HTTP-forespørsler, kan en angriper pinge serveren med en enkelt linje som peker til en ekstern server med Java-instruksjoner for kjøring av skadelig programvare. Hvis den pingede serveren er koblet til en Java-applikasjon som behandler Log4j, behandler Java-applikasjonen linjen som en kommando for å utføre skadelig programvare. Nederst på linjen utfører offerets server det en angriper beordrer. Sikkerhetsorganisasjonen Sophos sier de har identifisert hundretusenvis av angrep.
Kjente ansikter
Tidligere skrev vi en opplysende artikkel om den ovennevnte tekniske operasjonen av sårbarheten i Log4j. Den største forutsetningen for misbruk er muligheten til å nå Java-applikasjoner som inneholder Log4j. I noen tilfeller er dette en barnelek. For eksempel brukte Apple iCloud Log4j for å registrere navnene på iPhones. Ved å endre modellnavnet på en iPhone i iOS til en instruksjon for Java, viste det seg å være mulig å knekke Apples servere.
I andre tilfeller er applikasjoner mindre enkle å påvirke. Den største trusselen kommer fra angripere med erfaring, kunnskap og eksisterende teknikker. Sikkerhetsforskere fra Netlab360 satte opp to lokkesystemer (honeypots, red.) for å invitere til angrep på Java-applikasjoner med Log4j. Forskerne lokket dermed ni nye varianter av kjente skadevaretyper, inkludert MIRAI og Muhstik. Skadevarestammene er designet for å misbruke Log4j. Et vanlig angrepsmål er forsterkning av botnett for kryptomining og DDoS-angrep. Check Point Software gjennomførte en lignende undersøkelse i større skala. De siste dagene har sikkerhetsorganisasjonen registrert 846,000 XNUMX angrep.
Forsvar
Det er åpenbart at cyberkriminelle oppsøker og utnytter sårbare versjoner av Log4j. Det mest tilrådelige forsvaret er og gjenstår å inventere alle Log4j-applikasjoner i et miljø. Hvis leverandøren av applikasjonen som Log4j brukes i har gitt ut en oppdatert versjon, anbefales patching. Hvis ikke, er deaktivering det sikreste alternativet. NCSC holder oversikt over sårbarheten til programvare der Log4j behandles.
Det er foreløpig alt annet enn å anbefale å utvikle egne programvaretiltak eller å justere driften av Log4j. Sårbarheten har variasjoner. Microsoft, blant andre, oppdaget flere varianter av regelen som brukes til å instruere Java-applikasjoner til å kjøre skadelig programvare. Check Point snakker om mer enn 60 mutasjoner.