Серьезность уязвимости в Log4j далеко не теоретическая. Киберпреступники scan порты по всему миру, чтобы найти способы их использования. Исследователи безопасности наблюдали сотни тысяч атак.
За последние несколько дней Check Point Software распознала 470,000 XNUMX попыток scan Корпоративные сети по всему миру. scanвыполняются, среди прочего, для поиска серверов, которые разрешают внешние HTTP-запросы. Такие серверы склонны использовать печально известную уязвимость в Java-библиотеке Log4j. Если сервер разрешает HTTP-запросы, злоумышленник может выполнить ping-запрос на сервер с помощью одной строки, указывающей на удаленный сервер, с инструкциями Java для выполнения вредоносного ПО. Если проверенный сервер подключен к приложению Java, которое обрабатывает Log4j, приложение Java обрабатывает строку как команду для запуска вредоносного ПО. В нижней части строки сервер жертвы выполняет то, что приказывает злоумышленник. Охранная организация Sophos заявляет, что выявила сотни тысяч атак.
Знакомые лица
Ранее мы писали познавательную статью о вышеупомянутой технической эксплуатации уязвимости в Log4j. Самой большой предпосылкой для злоупотреблений является возможность доступа к Java-приложениям, включающим Log4j. В некоторых случаях это детская игра. Например, Apple использовала iCloud Log4j для записи названий iPhone. Поменяв название модели iPhone в iOS на инструкцию для Java, оказалось возможным взломать серверы Apple.
В других случаях на приложения повлиять сложнее. Самая большая угроза исходит от злоумышленников, обладающих опытом, знаниями и существующими методами. Исследователи безопасности из Netlab360 установили две системы-ловушки (приманки, ред.), чтобы спровоцировать атаки на Java-приложения с помощью Log4j. Таким образом, исследователи привлекли девять новых разновидностей известных типов вредоносного ПО, включая MIRAI и Muhstik. Штаммы вредоносного ПО предназначены для злоупотребления Log4j. Распространенной целью атак является усиление ботнетов для майнинга криптовалют и DDoS-атак. Check Point Software провела аналогичное исследование в более крупном масштабе. За последние несколько дней охранная организация зарегистрировала 846,000 тысяч атак.
Защита
Очевидно, что киберпреступники ищут и используют уязвимые версии Log4j. Наиболее целесообразной защитой является и остается инвентаризация всех приложений Log4j в среде. Если поставщик приложения, в котором используется Log4j, выпустил обновленную версию, рекомендуется установить исправления. Если нет, то отключение — самый безопасный вариант. NCSC хранит обзор уязвимостей программного обеспечения, в котором обрабатывается Log4j.
В настоящее время нецелесообразно разрабатывать собственные программные меры или настраивать работу Log4j. Уязвимость имеет разновидности. Microsoft, среди прочего, обнаружила несколько вариантов правила, которое предписывает приложениям Java запускать вредоносное ПО. Check Point говорит о более чем 60 мутациях.