Серйозність уразливості в Log4j не є теоретичною. Кіберзлочинці scan порти по всьому світу, щоб знайти способи їх використання. Дослідники безпеки спостерігали сотні тисяч атак.
За останні кілька днів Check Point Software розпізнала 470,000 XNUMX спроб scan корпоративні мережі по всьому світу. The scans виконуються, серед іншого, для пошуку серверів, які дозволяють виконувати зовнішні запити HTTP. Такі сервери схильні використовувати сумнозвісну вразливість у бібліотеці Java Log4j. Якщо сервер дозволяє HTTP-запити, зловмисник може пінгувати сервер за допомогою одного рядка, що вказує на віддалений сервер з інструкціями Java для виконання шкідливого програмного забезпечення. Якщо ping-сервер підключений до програми Java, яка обробляє Log4j, програма Java обробляє рядок як команду для виконання шкідливого програмного забезпечення. У нижній частині рядка сервер жертви виконує те, що наказує зловмисник. За словами організації безпеки Sophos, вона виявила сотні тисяч атак.
Знайомі обличчя
Раніше ми писали просвітницьку статтю про вищезгадану технічну роботу уразливості в Log4j. Найбільшою передумовою для зловживань є можливість доступу до програм Java, що містять Log4j. У деяких випадках це дитяча гра. Наприклад, Apple використовувала iCloud Log4j для запису назв iPhone. Змінивши назву моделі iPhone в iOS на інструкцію для Java, виявилося, що можна зламати сервери Apple.
В інших випадках на додатки вплинути не так легко. Найбільша загроза походить від зловмисників з досвідом, знаннями та наявними методами. Дослідники безпеки з Netlab360 створили дві системи приманки (приманки, ред.), щоб запросити атаки на Java-додатки за допомогою Log4j. Таким чином, дослідники залучили дев’ять нових варіацій відомих типів шкідливих програм, включаючи MIRAI і Muhstik. Зловмисне програмне забезпечення розроблено для зловживання Log4j. Поширеною метою атаки є посилення бот-мереж для майнінгу криптовалют і DDoS-атак. Check Point Software провела подібне опитування більшого масштабу. За останні кілька днів охоронна організація зареєструвала 846,000 тисяч атак.
оборони
Очевидно, що кіберзлочинці шукають і експлуатують уразливі версії Log4j. Найбільш доцільним захистом є і залишається інвентаризація всіх додатків Log4j в середовищі. Якщо постачальник програми, в якій використовується Log4j, випустив оновлену версію, рекомендується виправлення. Якщо ні, то відключення є найбезпечнішим варіантом. NCSC зберігає огляд уразливості програмного забезпечення, в якому обробляється Log4j.
Наразі доцільно розробляти власні програмні заходи або налаштовувати роботу Log4j. Уразливість має варіації. Microsoft, серед іншого, виявила кілька варіантів правила, що використовується для інструктування програм Java запускати шкідливе програмне забезпечення. Check Point говорить про понад 60 мутацій.