Nedávno komentovali jsme selhání Log4J a v této publikaci bychom se rádi podělili o informaci, že VýzkumníciJak tvrdí, že hackeři, včetně skupin podporovaných čínským státem, ale také Ruskem, zahájili více než 840.000 XNUMX útoků proti společnostem po celém světě od minulého pátku prostřednictvím této zranitelnosti.
Skupina kybernetické bezpečnosti Check Point uvedl související útoky se zranitelností, kterou zrychlili za 72 hodin od pátku, a občas jejich vyšetřovatelé viděli více než 100 útoků za minutu.
Editor také zaznamenal velkou kreativitu při přizpůsobování útoku. Někdy se za méně než 60 hodin objeví více než 24 nových variací, které zavádějí nové techniky mlžení nebo kódování.
Podle Charlese Carmakala, technologického ředitele kybernetické společnosti Mandiant, jsou mezi nimi zmíněni „útočníci z čínské vlády“.
Chyba Log4J umožňuje útočníkům převzít vzdálenou kontrolu nad počítači, na kterých běží Java aplikace.
Jen Easterlyová, ředitel Agentury pro kybernetickou a infrastrukturní bezpečnost Spojených států (CISA), řekl vedoucím pracovníkům v oboru, že Zranitelnost byla „jedna z nejzávažnějších, jaké jsem za celou svou kariéru viděl, ne-li nejvážnější“, podle amerických médií. Podle něj budou pravděpodobně postiženy stovky milionů zařízení.
Check Point uvedl, že v mnoha případech se hackeři zmocňují počítačů a používají je k těžbě kryptoměn nebo se stávají součástí botnetů s rozsáhlými počítačovými sítěmi, které lze využít k zahlcení návštěvnosti webových stránek, rozesílání spamu nebo k jiným nezákonným účelům.
Podle společnosti Kaspersky pochází většina útoků z Ruska.
CISA a britské Národní centrum pro kybernetickou bezpečnost vydaly výstrahy, ve kterých naléhaly na organizace, aby provedly aktualizace související se zranitelností Log4J, protože se odborníci snaží vyhodnotit důsledky.
Amazon, Apple, IBM, Microsoft a Cisco patří mezi ty, kteří spěchají s uvedením řešení, ale žádná vážná porušení nebyla veřejně hlášena, dokud
Tato zranitelnost je nejnovější, která ovlivňuje podnikové sítěpoté, co se v minulém roce objevily zranitelnosti běžně používaného softwaru od společnosti Microsoft a počítačové společnosti SolarWinds. Obě zranitelnosti byly údajně zpočátku využívány státem podporovanými špionážními skupinami z Číny a Ruska, resp.
Mandiant's Carmakal řekl, že čínští státem podporovaní aktéři se také snaží využít chybu Log4J, ale odmítl sdělit další podrobnosti. Výzkumníci SentinelOne také médiím řekli, že pozorovali čínské hackery, jak této zranitelnosti využívají.
CERT-FR doporučuje důkladnou analýzu síťových protokolů. Následující důvody lze použít k identifikaci pokusu o zneužití této chyby zabezpečení při použití v adresách URL nebo určitých záhlavích HTTP jako user-agent
Důrazně se doporučuje používat log2.15.0j verze 4 co nejdříve. V případě potíží s migrací na tuto verzi však lze dočasně použít následující řešení:
U aplikací, které používají knihovnu log2.7.0j verze 4 a novější, je možné se chránit před jakýmkoli útokem úpravou formátu událostí, které budou protokolovány se syntaxí % m {nolookups} pro data, která by uživatel poskytl .
Téměř polovinu všech útoků provedli známí kybernetičtí útočníci, uvádí Check Point. Mezi ně patřily skupiny, které používají Tsunami a Mirai, malware, který mění zařízení na botnety, nebo sítě, které se používají k spouštění vzdáleně řízených útoků, jako je například útoky typu Denial of Service. Zahrnoval také skupiny, které používají XMRig, software využívající digitální měnu Monero.
„Díky této zranitelnosti získají útočníci téměř neomezenou moc: mohou extrahovat důvěrná data, nahrávat soubory na server, mazat data, instalovat ransomware nebo přepínat na jiné servery,“ řekl Nicholas Sciberras, hlavní inženýr společnosti Acunetix, skener zranitelnosti. Bylo "překvapivě snadné" provést útok, řekl a dodal, že chyba bude "využita v příštích několika měsících".