Ang kalubhaan ng kahinaan sa Log4j ay anumang bagay maliban sa teoretikal. Mga kriminal sa cyber scan port sa buong mundo upang humanap ng mga paraan upang pagsamantalahan ang mga ito. Naobserbahan ng mga mananaliksik sa seguridad ang daan-daang libong pag-atake.
Sa nakalipas na ilang araw, kinilala ng Check Point Software ang 470,000 na pagtatangka scan mga corporate network sa buong mundo. Ang scans ay ginagawa, bukod sa iba pang mga bagay, upang makahanap ng mga server na nagpapahintulot sa mga panlabas na kahilingan sa HTTP. Ang mga naturang server ay madaling pagsamantalahan ang kasumpa-sumpa na kahinaan sa Java library Log4j. Kung pinapayagan ng isang server ang mga kahilingan sa HTTP, maaaring i-ping ng isang attacker ang server na may isang linya na tumuturo sa isang malayuang server na may mga tagubilin sa Java para sa pagpapatupad ng malware. Kung nakakonekta ang naka-ping na server sa isang Java application na nagpoproseso ng Log4j, pinoproseso ng Java application ang linya bilang isang command para i-execute ang malware. Sa ilalim ng linya, isinasagawa ng server ng biktima kung ano ang iniutos ng isang umaatake. Sinabi ng organisasyong panseguridad na si Sophos na natukoy na nito ang daan-daang libong mga pag-atake.
Pamilyar na mukha
Nauna kaming sumulat ng isang nakapagpapaliwanag na artikulo tungkol sa nabanggit na teknikal na operasyon ng kahinaan sa Log4j. Ang pinakamalaking paunang kondisyon para sa pang-aabuso ay ang kakayahang maabot ang mga application ng Java na may kasamang Log4j. Sa ilang mga kaso ito ay laro ng bata. Halimbawa, ginamit ng Apple ang iCloud Log4j upang itala ang mga pangalan ng mga iPhone. Sa pamamagitan ng pagpapalit ng pangalan ng modelo ng isang iPhone sa iOS sa isang pagtuturo para sa Java, naging posible na i-crack ang mga server ng Apple.
Sa ibang mga kaso, ang mga application ay hindi gaanong madaling maimpluwensyahan. Ang pinakamalaking banta ay nagmumula sa mga umaatake na may karanasan, kaalaman at umiiral na mga diskarte. Nag-set up ang mga security researcher mula sa Netlab360 ng dalawang decoy system (honeypots, ed.) para mag-imbita ng mga pag-atake sa mga Java application gamit ang Log4j. Kaya't naakit ng mga mananaliksik ang siyam na bagong variation ng mga kilalang uri ng malware, kabilang ang MIRAI at Muhstik. Ang mga strain ng malware ay idinisenyo upang abusuhin ang Log4j. Ang karaniwang target ng pag-atake ay ang pagpapalakas ng mga botnet para sa pag-atake ng crypto at DDoS. Ang Check Point Software ay nagsagawa ng katulad na survey sa mas malaking sukat. Sa nakalipas na ilang araw, nakarehistro ang organisasyong panseguridad ng 846,000 pag-atake.
pagtatanggol
Malinaw na ang mga cyber criminal ay naghahanap at nagsasamantala sa mga mahihinang bersyon ng Log4j. Ang pinaka-advisable na depensa ay at nananatiling imbentaryo ang lahat ng Log4j application sa isang kapaligiran. Kung ang supplier ng application kung saan ginamit ang Log4j ay naglabas ng na-update na bersyon, inirerekomenda ang pag-patch. Kung hindi, ang hindi pagpapagana ay ang pinakaligtas na opsyon. Ang NCSC ay nagpapanatili ng isang pangkalahatang-ideya ng kahinaan ng software kung saan pinoproseso ang Log4j.
Sa kasalukuyan ay hindi maipapayo na bumuo ng iyong sariling mga hakbang sa software o upang ayusin ang pagpapatakbo ng Log4j. Ang kahinaan ay may mga pagkakaiba-iba. Ang Microsoft, bukod sa iba pa, ay nakakita ng maraming variant ng panuntunang ginamit upang turuan ang mga Java application na magpatakbo ng malware. Ang Check Point ay nagsasalita ng higit sa 60 mutations.