nylig vi kommenterede fejlen i Log4J og i denne publikation vil vi gerne dele oplysninger om, at forskerefordi hævder, at hackere, herunder grupper støttet af den kinesiske stat, men også af Rusland, har iværksat mere end 840.000 angreb mod virksomheder over hele verden siden i fredags gennem denne sårbarhed.
Cybersikkerhedsgruppen Check Point sagde de relaterede angreb med sårbarheden var accelereret i løbet af de 72 timer siden fredag, og til tider så dens efterforskere mere end 100 angreb i minuttet.
Redaktøren bemærkede også stor kreativitet i tilpasningen af angrebet. Nogle gange dukker mere end 60 nye variationer op på mindre end 24 timer, hvilket introducerer nye slørings- eller kodningsteknikker.
"Kinesiske regeringsangribere" er nævnt som værende inkluderet, ifølge Charles Carmakal, teknologichef for cybervirksomheden Mandiant.
Log4J-fejlen tillader angribere at tage fjernstyring af computere, der kører Java-applikationer.
Jen påske, direktør for United States Cyber and Infrastructure Security Agency (CISA), sagde han til brancheledere det Sårbarhed var "en af de mest alvorlige, jeg har set i hele min karriere, hvis ikke den mest alvorlige", ifølge amerikanske medier. Hundredvis af millioner af enheder vil sandsynligvis blive påvirket, sagde han.
Check Point sagde, at hackere i mange tilfælde overtager computere og bruger dem til at mine kryptovalutaer eller blive en del af botnets, med store computernetværk, der kan bruges til at overvælde webstedstrafikken, sende spam eller til andre ulovlige formål.
For Kasperskys vedkommende kommer de fleste angreb fra Rusland.
CISA og Storbritanniens National Cyber Security Center har udsendt advarsler, der opfordrer organisationer til at lave opdateringer relateret til Log4J-sårbarheden, mens eksperter forsøger at vurdere konsekvenserne.
Amazon, Apple, IBM, Microsoft og Cisco er blandt dem, der skynder sig at udrulle løsninger, men ingen alvorlige brud er blevet offentligt rapporteret før
Sårbarheden er den seneste til at påvirke virksomhedsnetværk, efter at sårbarheder dukkede op i løbet af det seneste år i almindeligt brugt software fra Microsoft og computerfirmaet SolarWinds. Begge sårbarheder blev angiveligt oprindeligt udnyttet af statsstøttede spiongrupper fra henholdsvis Kina og Rusland.
Mandiant's Carmakal sagde, at kinesiske statsstøttede skuespillere også forsøger at udnytte Log4J-fejlen, men han afviste at dele yderligere detaljer. SentinelOne-forskere fortalte også til medierne, at de havde observeret kinesiske hackere, der udnyttede sårbarheden.
CERT-FR anbefaler en grundig analyse af netværksloggene. Følgende årsager kan bruges til at identificere et forsøg på at udnytte denne sårbarhed, når det bruges i URL'er eller visse HTTP-headere som brugeragent
Det anbefales kraftigt at bruge log2.15.0j version 4 så hurtigt som muligt. Men i tilfælde af problemer med at migrere til denne version, kan følgende løsninger blive anvendt midlertidigt:
For applikationer, der bruger version 2.7.0 og nyere af log4j-biblioteket, er det muligt at beskytte mod ethvert angreb ved at ændre formatet på de hændelser, der vil blive logget med syntaksen% m {nolookups} for de data, som brugeren vil levere .
Næsten halvdelen af alle angreb er ifølge Check Point blevet udført af kendte cyberangribere. Disse omfattede grupper, der bruger Tsunami og Mirai, malware, der forvandler enheder til botnet, eller netværk, der bruges til at iværksætte fjernstyrede angreb, såsom lammelsesangreb. Det inkluderede også grupper, der bruger XMRig, software, der udnytter Monero digitale valuta.
"Med denne sårbarhed får angribere næsten ubegrænset magt: de kan udtrække fortrolige data, uploade filer til serveren, slette data, installere ransomware eller skifte til andre servere," sagde Nicholas Sciberras, Acunetix Chief Engineering Officer, sårbarhedsscanner. Det var "overraskende nemt" at gennemføre et angreb, sagde han og tilføjede, at fejlen ville blive "udnyttet i de næste par måneder."