Svårighetsgraden av sårbarheten i Log4j är allt annat än teoretisk. Cyberbrottslingar scan hamnar över hela världen för att hitta sätt att utnyttja dem. Säkerhetsforskare observerade hundratusentals attacker.
Under de senaste dagarna har Check Point Software känt igen 470,000 XNUMX försök scan företagsnätverk över hela världen. De scans utförs bland annat för att hitta servrar som tillåter externa HTTP-förfrågningar. Sådana servrar är benägna att utnyttja den ökända sårbarheten i Java-biblioteket Log4j. Om en server tillåter HTTP-förfrågningar kan en angripare pinga servern med en enda rad som pekar på en fjärrserver med Java-instruktioner för exekvering av skadlig programvara. Om den pingade servern är ansluten till en Java-applikation som bearbetar Log4j, bearbetar Java-applikationen raden som ett kommando för att köra skadlig programvara. Längst ner på raden utför offrets server vad en angripare beordrar. Säkerhetsorganisationen Sophos säger att de har identifierat hundratusentals attacker.
Kända ansikten
Tidigare skrev vi en upplysande artikel om den ovan nämnda tekniska driften av sårbarheten i Log4j. Den största förutsättningen för missbruk är möjligheten att nå Java-applikationer som innehåller Log4j. I vissa fall är detta en barnlek. Till exempel använde Apple iCloud Log4j för att spela in namnen på iPhones. Genom att ändra modellnamnet på en iPhone i iOS till en instruktion för Java visade det sig vara möjligt att knäcka Apples servrar.
I andra fall är applikationer mindre lätta att påverka. Det största hotet kommer från angripare med erfarenhet, kunskap och befintliga tekniker. Säkerhetsforskare från Netlab360 satte upp två lockbetesystem (honeypots, red.) för att bjuda in attacker på Java-applikationer med Log4j. Forskarna lockade därmed nio nya varianter av välkända malware-typer, inklusive MIRAI och Muhstik. Skadlig programvara är designad för att missbruka Log4j. Ett vanligt attackmål är förstärkningen av botnät för kryptomining och DDoS-attacker. Check Point Software genomförde en liknande undersökning i större skala. Under de senaste dagarna har säkerhetsorganisationen registrerat 846,000 XNUMX attacker.
Försvar
Det är uppenbart att cyberbrottslingar letar efter och utnyttjar sårbara versioner av Log4j. Det mest tillrådliga försvaret är och förblir att inventera alla Log4j-applikationer i en miljö. Om leverantören av applikationen som Log4j används i har släppt en uppdaterad version rekommenderas patchning. Om inte är inaktivering det säkraste alternativet. NCSC håller en översikt över sårbarheten hos programvara där Log4j bearbetas.
Det är för närvarande allt annat än att rekommendera att utveckla dina egna mjukvaruåtgärder eller att justera driften av Log4j. Sårbarheten har variationer. Microsoft, bland andra, upptäckte flera varianter av regeln som används för att instruera Java-applikationer att köra skadlig programvara. Check Point talar om mer än 60 mutationer.