Aktualizacja Log4j: 60 odmian Log4Shell, setki tysięcy ataków

Waga luki w Log4j nie jest teoretyczna. Cyberprzestępcy scan portów na całym świecie, aby znaleźć sposoby ich wykorzystania. Badacze bezpieczeństwa zaobserwowali setki tysięcy ataków.

W ciągu ostatnich kilku dni firma Check Point Software rozpoznała 470,000 XNUMX prób: scan sieci korporacyjnych na całym świecie. ten scans wykonywane są między innymi w celu znalezienia serwerów, które zezwalają na zewnętrzne żądania HTTP. Takie serwery są podatne na wykorzystywanie niesławnej luki w bibliotece Java Log4j. Jeśli serwer zezwala na żądania HTTP, atakujący może pingować serwer za pomocą pojedynczej linii wskazującej na zdalny serwer z instrukcjami Java dotyczącymi wykonania złośliwego oprogramowania. Jeśli serwer pingowany jest podłączony do aplikacji Java, która przetwarza Log4j, aplikacja Java przetwarza wiersz jako polecenie uruchomienia złośliwego oprogramowania. Na dole linii serwer ofiary wykonuje polecenie napastnika. Organizacja bezpieczeństwa Sophos twierdzi, że zidentyfikowała setki tysięcy ataków.

Znajome twarze

Wcześniej napisaliśmy pouczający artykuł o wyżej wspomnianym technicznym działaniu luki w Log4j. Największym warunkiem nadużyć jest możliwość dotarcia do aplikacji Java zawierających Log4j. W niektórych przypadkach jest to dziecinnie proste. Na przykład firma Apple użyła iCloud Log4j do nagrywania nazw iPhone'ów. Zmieniając nazwę modelu iPhone'a w iOS na instrukcję dla Javy, okazało się, że możliwe jest włamanie się do serwerów Apple.

W innych przypadkach wpływ na aplikacje jest trudniejszy. Największe zagrożenie stanowią napastnicy posiadający doświadczenie, wiedzę i istniejące techniki. Analitycy bezpieczeństwa z Netlab360 utworzyli dwa systemy zwodnicze (honeypot, red.), aby zachęcać do ataków na aplikacje Java za pomocą Log4j. W ten sposób badacze zwabili dziewięć nowych odmian dobrze znanych typów złośliwego oprogramowania, w tym MIRAI i Muhstik. Odmiany złośliwego oprogramowania mają na celu nadużywanie Log4j. Częstym celem ataków jest wzmocnienie botnetów do kopania kryptowalut i ataków DDoS. Firma Check Point Software przeprowadziła podobną ankietę na większą skalę. W ciągu ostatnich kilku dni organizacja bezpieczeństwa zarejestrowała 846,000 XNUMX ataków.

Obrona

Jest oczywiste, że cyberprzestępcy wyszukują i wykorzystują wrażliwe wersje Log4j. Najbardziej wskazaną obroną jest i pozostaje inwentaryzacja wszystkich aplikacji Log4j w środowisku. Jeśli dostawca aplikacji, w której używany jest Log4j, wydał zaktualizowaną wersję, zalecana jest poprawka. Jeśli nie, wyłączenie jest najbezpieczniejszą opcją. NCSC prowadzi przegląd podatności oprogramowania, w którym przetwarzany jest Log4j.

Obecnie nie jest wskazane opracowywanie własnych środków oprogramowania lub dostosowywanie działania Log4j. Luka ma różne odmiany. Między innymi Microsoft wykrył wiele wariantów reguły używanej do nakazywania aplikacjom Java uruchamiania złośliwego oprogramowania. Check Point mówi o ponad 60 mutacjach.