fa poc comentàvem sobre la decisió de Log4J i en aquesta publicació ens agradaria compartir informació que van donar a conèixer els investigadors, ja que asseguren que hackers, inclosos grups recolzats per l'estat xinès però també Rússia, han llançat més de 840.000 atacs contra empreses de tot el món des de divendres passat a través d'aquesta vulnerabilitat.
El grup de ciberseguretat Check Point va dir que els atacs relacionats amb la vulnerabilitat s'havien accelerat divendres a les 72 hores, i de vegades els seus investigadors estaven veient més de 100 atacs per minut.
L?editor també va observar una gran creativitat en l?adaptació de l?atac. De vegades, apareixen més de 60 noves variacions en menys de 24 hores, fet que introdueix noves tècniques d'ofuscació o codificació.
S'esmenta que s'hi inclouen «atacants del govern xinès», segons Charles Carmakal, director de tecnologia de l'empresa cibernètica Mandiant.
La falla de Log4J permet als atacants prendre el control remot dels ordinadors que executen aplicacions Java.
Jen Easterly, directora de l'Agència de Seguretat d'Infraestructura i Cibernètica dels Estats Units (CISA), va dir als executius de la indústria que la vulnerabilitat era «una de les més greus que he vist en tota la meva carrera, sinó la més greu», segons els Mitjans nord-americans. És probable que centenars de milions de dispositius es vegin afectats, va dir
Check Point va dir que en molts casos, els hackers s'apoderen dels ordinadors i les usen per extreure criptomonedes o formar part de xarxes de bots, amb vastes xarxes d'ordinadors que poden utilitzar-se per aclaparar el trànsit de llocs web, enviar correu brossa o per altres fins il·legals.
Per a Kaspersky, la majoria dels atacs provenen de Rússia.
El CISA i el Centre Nacional de Seguretat Cibernètica del Regne Unit han emès alertes instant les organitzacions a fer actualitzacions relacionades amb la vulnerabilitat Log4J, mentre els experts intenten avaluar-ne les conseqüències.
Amazon, Apple, IBM, Microsoft i Cisco es troben entre els que s'afanyen a llançar solucions, però no s'ha informat públicament d'infraccions greus fins que
La vulnerabilitat és la més recent a afectar les xarxes corporatives, després que van sorgir vulnerabilitats durant l'any passat al programari d'ús comú de Microsoft i la companyia informàtica SolarWinds. Segons els informes, les dues vulnerabilitats van ser explotades inicialment per grups d'espies recolzats per l'estat de la Xina i Rússia, respectivament.
Carmakal de Mandiant va dir que els actors recolzats per l'estat xinès també intenten explotar l'error Log4J, però es va negar a compartir més detalls. Els investigadors de SentinelOne també van dir als mitjans que havien observat que els pirates informàtics xinesos s'aprofitaven de la vulnerabilitat.
CERT-FR recomana fer una anàlisi exhaustiva dels registres de la xarxa. Les raons següents es poden utilitzar per identificar un intent d'aprofitar aquesta vulnerabilitat quan s'usa en URL o certs encapçalaments HTTP com a usuari-agent
Es recomana encaridament utilitzar la versió 2.15.0 de log4j com més aviat millor. No obstant això, en cas de dificultats per migrar a aquesta versió, les solucions següents es poden aplicar temporalment:
Per a aplicacions que utilitzen les versions 2.7.0 i posteriors de la biblioteca log4j, és possible protegir-se contra qualsevol atac modificant el format dels esdeveniments que es registraran amb la sintaxi %m {nolookups} per a les dades que proporcionaria l'usuari.
Gairebé la meitat de tots els atacs han estat portats a terme per ciberatacants coneguts, segons Check Point. Aquests van incloure grups que usen Tsunami i Mirai, codi maliciós que converteix dispositius en botnets, o xarxes que es fan servir per llançar atacs controlats de forma remota, com atacs de denegació de servei. També va incloure grups que utilitzen XMRig, programari que explota la moneda digital Monero.
«Amb aquesta vulnerabilitat, els atacants obtenen un poder gairebé il·limitat: poden extreure dades confidencials, carregar arxius al servidor, eliminar dades, instal·lar ransomware o canviar altres servidors», va dir Nicholas Sciberras, cap d'enginyeria d'Acunetix, escàner de vulnerabilitats. Va ser «sorprenentment fàcil» implementar un atac, va dir, i va afegir que la falla seria «explotada durant els propers mesos».