Severitatea vulnerabilității în Log4j este orice altceva decât teoretică. Infractorii cibernetici scan porturi din întreaga lume pentru a găsi modalități de a le exploata. Cercetătorii de securitate au observat sute de mii de atacuri.
În ultimele zile, Check Point Software a recunoscut 470,000 de încercări scan rețele corporative din întreaga lume. The scansunt efectuate, printre altele, pentru a găsi servere care permit solicitări HTTP externe. Astfel de servere sunt predispuse să exploateze vulnerabilitatea infamă din biblioteca Java Log4j. Dacă un server permite solicitări HTTP, un atacator poate ping serverul cu o singură linie care indică către un server la distanță cu instrucțiuni Java pentru execuția malware. Dacă serverul ping este conectat la o aplicație Java care procesează Log4j, aplicația Java procesează linia ca o comandă pentru a executa malware-ul. În partea de jos a liniei, serverul victimei execută ceea ce ordonă un atacator. Organizația de securitate Sophos spune că a identificat sute de mii de atacuri.
Fețe familiare
Mai devreme am scris un articol lămuritor despre funcționarea tehnică menționată mai sus a vulnerabilității din Log4j. Cea mai mare condiție prealabilă pentru abuz este capacitatea de a ajunge la aplicațiile Java care încorporează Log4j. În unele cazuri, aceasta este o joacă de copii. De exemplu, Apple a folosit iCloud Log4j pentru a înregistra numele iPhone-urilor. Prin schimbarea numelui modelului unui iPhone în iOS într-o instrucțiune pentru Java, s-a dovedit a fi posibilă spargerea serverelor Apple.
În alte cazuri, aplicațiile sunt mai puțin ușor de influențat. Cea mai mare amenințare vine de la atacatorii cu experiență, cunoștințe și tehnici existente. Cercetătorii de securitate de la Netlab360 au creat două sisteme de momeală (honeypots, n.red.) pentru a invita atacuri asupra aplicațiilor Java cu Log4j. Cercetătorii au atras astfel nouă variante noi de tipuri de malware bine-cunoscute, inclusiv MIRAI și Muhstik. Tulpinile de malware sunt concepute pentru a abuza de Log4j. O țintă obișnuită a atacurilor este consolidarea rețelelor botnet pentru cripto mining și atacuri DDoS. Check Point Software a efectuat un sondaj similar la scară mai mare. În ultimele zile, organizația de securitate a înregistrat 846,000 de atacuri.
Apărare
Este evident că criminalii cibernetici caută și exploatează versiunile vulnerabile ale Log4j. Cea mai indicată apărare este și rămâne inventarierea tuturor aplicațiilor Log4j într-un mediu. Dacă furnizorul aplicației în care este utilizat Log4j a lansat o versiune actualizată, se recomandă aplicarea de corecții. Dacă nu, dezactivarea este cea mai sigură opțiune. NCSC păstrează o imagine de ansamblu asupra vulnerabilității software-ului în care este procesat Log4j.
În prezent, este orice altceva decât recomandabil să vă dezvoltați propriile măsuri software sau să ajustați funcționarea Log4j. Vulnerabilitatea are variații. Microsoft, printre altele, a detectat mai multe variante ale regulii utilizate pentru a instrui aplicațiile Java să ruleze malware. Check Point vorbește despre mai mult de 60 de mutații.