Závažnosť zraniteľnosti v Log4j nie je len teoretická. Kyberzločinci scan prístavov na celom svete, aby našli spôsoby, ako ich využiť. Bezpečnostní výskumníci zaznamenali státisíce útokov.
V posledných dňoch spoločnosť Check Point Software rozpoznala 470,000 XNUMX pokusov scan firemné siete po celom svete. The scans sa vykonávajú okrem iného na nájdenie serverov, ktoré umožňujú externé požiadavky HTTP. Takéto servery sú náchylné na zneužitie neslávne známej zraniteľnosti v knižnici Java Log4j. Ak server povolí požiadavky HTTP, útočník môže pingnúť server pomocou jediného riadku smerujúceho na vzdialený server s pokynmi Java na spustenie škodlivého softvéru. Ak je pingovaný server pripojený k aplikácii Java, ktorá spracováva Log4j, aplikácia Java spracuje riadok ako príkaz na spustenie malvéru. V spodnej časti riadku server obete vykoná to, čo si útočník objedná. Bezpečnostná organizácia Sophos tvrdí, že identifikovala státisíce útokov.
Známe tváre
Už skôr sme napísali poučný článok o vyššie spomínanom technickom fungovaní zraniteľnosti v Log4j. Najväčším predpokladom zneužitia je možnosť dostať sa k Java aplikáciám obsahujúcim Log4j. V niektorých prípadoch je to detská hra. Napríklad Apple použil iCloud Log4j na zaznamenávanie mien telefónov iPhone. Zmenou názvu modelu iPhone v systéme iOS na inštrukciu pre Javu sa ukázalo, že je možné prelomiť servery spoločnosti Apple.
V iných prípadoch sú aplikácie menej ľahko ovplyvniteľné. Najväčšiu hrozbu predstavujú útočníci so skúsenosťami, znalosťami a existujúcimi technikami. Bezpečnostní výskumníci z Netlab360 vytvorili dva návnady (honeypots, pozn. red.), aby pozývali na útoky na Java aplikácie pomocou Log4j. Výskumníci tak nalákali deväť nových variácií známych typov malvéru vrátane MIRAI a Muhstik. Kmene škodlivého softvéru sú navrhnuté tak, aby zneužívali Log4j. Bežným cieľom útokov je posilnenie botnetov pre ťažbu kryptomien a DDoS útoky. Check Point Software uskutočnil podobný prieskum vo väčšom rozsahu. Za posledných pár dní bezpečnostná organizácia zaregistrovala 846,000 XNUMX útokov.
obrana
Je zrejmé, že počítačoví zločinci vyhľadávajú a využívajú zraniteľné verzie Log4j. Najvhodnejšou obranou je a zostáva inventarizácia všetkých aplikácií Log4j v prostredí. Ak dodávateľ aplikácie, v ktorej sa Log4j používa, vydal aktualizovanú verziu, odporúča sa záplata. Ak nie, deaktivácia je najbezpečnejšou možnosťou. NCSC si vedie prehľad o zraniteľnosti softvéru, v ktorom sa Log4j spracováva.
V súčasnosti nie je vhodné vyvinúť vlastné softvérové opatrenia alebo upraviť fungovanie Log4j. Zraniteľnosť má variácie. Microsoft okrem iného zistil viacero variantov pravidla používaného na prikazovanie Java aplikáciám spúšťať malvér. Check Point hovorí o viac ako 60 mutáciách.