наскоро коментирахме провала на Log4J и в тази публикация бихме искали да споделим информация, че изследователиКато твърдят, че хакери, включително групи, подкрепяни от китайската държава, но също и от Русия, са предприели над 840.000 XNUMX атаки срещу компании по целия свят от миналия петък чрез тази уязвимост.
Групата за киберсигурност Check Point каза за свързаните атаки с уязвимостта, която бяха ускорили през 72-те часа от петък, а понякога техните следователи виждаха повече от 100 атаки в минута.
Редакторът отбеляза и голяма креативност при адаптирането на атаката. Понякога повече от 60 нови вариации се появяват за по-малко от 24 часа, въвеждайки нови техники за обфускиране или кодиране.
Според Чарлз Кармакал, главен технологичен директор на киберкомпанията Mandiant, се споменават като включени „нападатели на китайското правителство“.
Недостатъкът на Log4J позволява на нападателите да поемат отдалечен контрол над компютрите, работещи с Java приложения.
Джен Истърли, директор на Агенцията за кибер и инфраструктурна сигурност на САЩ (CISA), каза той на ръководителите на индустрията, че Уязвимостта беше „една от най-сериозните, които съм виждал в цялата си кариера, ако не и най-сериозният“, според американските медии. Стотици милиони устройства вероятно ще бъдат засегнати, каза той.
Check Point каза, че в много случаи хакерите превземат компютрите и ги използват за копаене на криптовалути или стават част от ботнети с обширни компютърни мрежи, които могат да се използват за претоварване на трафика на уебсайтове, изпращане на спам или за други незаконни цели.
За Kaspersky повечето от атаките идват от Русия.
CISA и Националният център за киберсигурност на Обединеното кралство издадоха сигнали, призовавайки организациите да правят актуализации, свързани с уязвимостта Log4J, докато експертите се опитват да оценят последствията.
Amazon, Apple, IBM, Microsoft и Cisco са сред тези, които бързат да пуснат решения, но не са докладвани сериозни нарушения, докато
Уязвимостта е най-новата, която засяга корпоративните мрежи, след като през последната година се появиха уязвимости в софтуера за обща употреба от Microsoft и компютърната компания SolarWinds. Съобщава се, че и двете уязвимости първоначално са били използвани от подкрепяни от държавата шпионски групи съответно от Китай и Русия.
Кармакал от Mandiant каза, че подкрепяните от държавата актьори в Китай също се опитват да използват грешката Log4J, но той отказа да сподели повече подробности. Изследователите от SentinelOne също казаха пред медиите, че са наблюдавали как китайски хакери се възползват от уязвимостта.
CERT-FR препоръчва задълбочен анализ на мрежовите регистрационни файлове. Следните причини могат да се използват за идентифициране на опит за използване на тази уязвимост, когато се използва в URL адреси или определени HTTP заглавки като потребителски агент
Силно препоръчително е да използвате log2.15.0j версия 4 възможно най-скоро. Въпреки това, в случай на трудности при мигрирането към тази версия, могат временно да се приложат следните решения:
За приложения, които използват версии 2.7.0 и по-нови на библиотеката log4j, е възможно да се защитят срещу всякакви атаки чрез промяна на формата на събитията, които ще бъдат регистрирани със синтаксис% m {nolookups} за данните, които потребителят ще предостави .
Според Check Point почти половината от всички атаки са били извършени от известни кибератаки. Те включват групи, които използват Tsunami и Mirai, зловреден софтуер, който превръща устройствата в ботнети, или мрежи, които се използват за стартиране на дистанционно контролирани атаки, като атаки за отказ на услуга. Той също така включва групи, които използват XMRig, софтуер, който експлоатира цифровата валута Monero.
„С тази уязвимост нападателите печелят почти неограничена мощност: те могат да извличат поверителни данни, да качват файлове на сървъра, да изтриват данни, да инсталират ransomware или да превключват към други сървъри“, каза Никълъс Скиберас, главен инженерен директор на Acunetix, скенер за уязвимости. Беше „изненадващо лесно“ да се приложи атака, каза той, добавяйки, че недостатъкът ще бъде „експлоатиран през следващите няколко месеца“.