Resnost ranljivosti v Log4j je vse prej kot teoretična. Kibernetski kriminalci scan pristanišč po vsem svetu, da bi našli načine za njihovo izkoriščanje. Varnostni raziskovalci so opazili na stotine tisoč napadov.
V zadnjih nekaj dneh je Check Point Software prepoznal 470,000 poskusov scan podjetniških omrežij po vsem svetu. The scans se izvajajo med drugim za iskanje strežnikov, ki dovoljujejo zunanje zahteve HTTP. Takšni strežniki so nagnjeni k izkoriščanju zloglasne ranljivosti v knjižnici Java Log4j. Če strežnik dovoljuje zahteve HTTP, lahko napadalec ping strežnik izvede z eno vrstico, ki kaže na oddaljeni strežnik z navodili Java za izvajanje zlonamerne programske opreme. Če je strežnik pinga povezan z aplikacijo Java, ki obdeluje Log4j, aplikacija Java obdela vrstico kot ukaz za izvedbo zlonamerne programske opreme. Na dnu vrstice strežnik žrtve izvrši tisto, kar ukaže napadalec. Varnostna organizacija Sophos pravi, da je identificirala na stotine tisoč napadov.
Znani obrazi
Prej smo pisali poučen članek o zgoraj omenjenem tehničnem delovanju ranljivosti v Log4j. Največji predpogoj za zlorabo je zmožnost dostopa do aplikacij Java, ki vključujejo Log4j. V nekaterih primerih je to otroška igra. Apple je na primer uporabil iCloud Log4j za snemanje imen telefonov iPhone. S spremembo imena modela iPhone v iOS-u v navodilo za Javo se je izkazalo, da je mogoče razbiti Applove strežnike.
V drugih primerih je na aplikacije težje vplivati. Največjo grožnjo predstavljajo napadalci z izkušnjami, znanjem in obstoječimi tehnikami. Varnostni raziskovalci iz Netlab360 so postavili dva sistema za zavajanje (honeypots, ur.), da z Log4j povabijo napade na aplikacije Java. Raziskovalci so tako privabili devet novih različic dobro znanih vrst zlonamerne programske opreme, vključno z MIRAI in Muhstik. Sevi zlonamerne programske opreme so zasnovani za zlorabo Log4j. Pogost cilj napada je okrepitev botnetov za kripto rudarjenje in DDoS napade. Check Point Software je izvedla podobno raziskavo v večjem obsegu. V zadnjih dneh je varnostna organizacija zabeležila 846,000 napadov.
Defense
Očitno je, da kibernetski kriminalci iščejo in izkoriščajo ranljive različice Log4j. Najbolj priporočljiva obramba je in ostaja inventarizacija vseh aplikacij Log4j v okolju. Če je dobavitelj aplikacije, v kateri se uporablja Log4j, izdal posodobljeno različico, se priporoča popravek. Če ne, je onemogočanje najvarnejša možnost. NCSC vodi pregled nad ranljivostjo programske opreme, v kateri se obdeluje Log4j.
Trenutno je vse prej kot priporočljivo razviti lastne programske ukrepe ali prilagoditi delovanje Log4j. Ranljivost ima razlike. Microsoft je med drugim zaznal več različic pravila, ki se uporablja za navodilo aplikacijam Java, da zaženejo zlonamerno programsko opremo. Check Point govori o več kot 60 mutacijah.