Kluczowe dania na wynos
- Hakerzy opublikowali kod ujawniający exploit w powszechnie używanej bibliotece logów Java.
- Detektywi ds. cyberbezpieczeństwa zauważyli masowe skanowanie sieci w poszukiwaniu serwerów i usług, które można wykorzystać.
-
Agencja ds. bezpieczeństwa cybernetycznego i infrastruktury (CISA) wezwała dostawców i użytkowników do pilnej aktualizacji oprogramowania i usług.
Krajobraz cyberbezpieczeństwa płonie z powodu łatwej do wykorzystania luki w popularnej bibliotece logów Java, Log4j. Jest używany przez każde popularne oprogramowanie i usługę i być może już zaczął wpływać na codziennego użytkownika komputerów stacjonarnych i smartfonów.
Eksperci ds. cyberbezpieczeństwa widzą wiele różnych przypadków użycia exploita Log4j, który już zaczyna pojawiać się w ciemnej sieci, od wykorzystywania serwerów Minecraft po bardziej głośne problemy, które ich zdaniem mogą potencjalnie wpłynąć na Apple iCloud.
„Ta luka w zabezpieczeniach Log4j ma efekt spływania, wpływając na wszystkich dużych dostawców oprogramowania, którzy mogą używać tego komponentu jako części swojego pakietu aplikacji” - powiedział Lifewire John Hammond, starszy badacz ds. bezpieczeństwa w firmie Huntress. „Społeczność bezpieczeństwa odkryła wrażliwe aplikacje od innych producentów technologii, takich jak Apple, Twitter, Tesla Cloudflare, między innymi. Jak mówimy, branża wciąż bada ogromną powierzchnię ataku i ryzykuje, że ta luka stwarza”.
Ogień w dziurze
Luka śledzona jako CVE-2021-44228 i nazwana Log4Shell ma najwyższy wynik ważności wynoszący 10 w powszechnym systemie oceny podatności (CVSS).
GreyNoise, który analizuje ruch internetowy w celu wykrycia ważnych sygnałów bezpieczeństwa, po raz pierwszy zaobserwował aktywność związaną z tą luką w dniu 9 grudnia 2021 r. Wtedy też zaczęły pojawiać się zbrojone exploity typu „proof-of-concept” (PoC), co doprowadziło do szybki wzrost skanowania i publicznego wykorzystywania w dniu 10 grudnia 2021 r. i przez weekend.
Log4j jest mocno zintegrowany z szerokim zestawem frameworków DevOps i korporacyjnych systemów IT, a także z oprogramowaniem dla użytkowników końcowych i popularnymi aplikacjami w chmurze.
Wyjaśniając wagę luki, Anirudh Batra, analityk ds. zagrożeń w CloudSEK, informuje Lifewire w wiadomości e-mail, że osoba działająca w ramach zagrożenia może ją wykorzystać do uruchomienia kodu na zdalnym serwerze.
„To spowodowało, że nawet popularne gry, takie jak Minecraft, są również podatne na ataki. Atakujący może je wykorzystać, po prostu umieszczając ładunek w oknie czatu. Nie tylko Minecraft, ale także inne popularne usługi, takie jak iCloud Steam, są również podatne na ataki” Batra wyjaśnił, dodając, że „wyzwolenie luki w iPhonie jest tak proste, jak zmiana nazwy urządzenia.„
Trzpień góry lodowej
Firma Tenable zajmująca się cyberbezpieczeństwem sugeruje, że ponieważ Log4j jest zawarty w wielu aplikacjach internetowych i jest używany przez różne usługi w chmurze, pełny zakres luki w zabezpieczeniach nie będzie znany przez jakiś czas.
Firma wskazuje na repozytorium GitHub, które śledzi dotknięte usługi, które w chwili pisania tego tekstu zawiera listę około trzech tuzinów producentów i usług, w tym popularnych, takich jak Google, LinkedIn, Webex, Blender i innych wspomnianych wcześniej.
Jak już mówimy, branża wciąż bada ogromną powierzchnię ataku i ryzykuje, że ta luka stwarza.
Do tej pory zdecydowana większość działań była skanowana, ale zaobserwowano również działania związane z eksploatacją i post-eksploatacją.
„Microsoft zaobserwował działania, w tym instalowanie koparek do monet, Cob alt Strike w celu umożliwienia kradzieży poświadczeń i ruchu bocznego oraz eksfiltracji danych z zaatakowanych systemów”, pisze Microsoft Threat Intelligence Center.
Listwa w lukach
Nie jest więc niespodzianką, że ze względu na łatwość eksploatacji i powszechność Log4j, Andrew Morris, założyciel i dyrektor generalny GreyNoise, mówi Lifewire, że wierzy, że wroga aktywność będzie nadal rosła w ciągu najbliższych kilku dni.
Dobrą wiadomością jest jednak to, że Apache, twórcy podatnej biblioteki, wydali łatkę, która neutralizuje exploity. Ale teraz to poszczególni twórcy oprogramowania muszą zaktualizować swoje wersje, aby chronić swoich klientów.
Kunal Anand, dyrektor ds. technologii w firmie Imperva zajmującej się cyberbezpieczeństwem, informuje Lifewire w wiadomości e-mail, że podczas gdy większość kampanii adwersarzy wykorzystujących lukę jest obecnie skierowana do użytkowników korporacyjnych, użytkownicy końcowi muszą zachować czujność i upewnić się, że aktualizują oprogramowanie, którego dotyczy luka. jak tylko dostępne będą poprawki.
Sentyment ten podzieliła Jen Easterly, dyrektor Agencji Bezpieczeństwa ds. Cyberbezpieczeństwa i Infrastruktury (CISA).
Użytkownicy końcowi będą polegać na swoich dostawcach, a społeczność dostawców musi natychmiast zidentyfikować, złagodzić i załatać szeroką gamę produktów korzystających z tego oprogramowania. Dostawcy powinni również komunikować się ze swoimi klientami, aby upewnić się, że użytkownicy końcowi wiedzą że ich produkt zawiera tę lukę i powinien traktować priorytetowo aktualizacje oprogramowania” – powiedział Easterly w oświadczeniu.
