Vor kurzem wir haben das Scheitern von Log4J kommentiert und in dieser Veröffentlichung möchten wir Informationen teilen, die die ForscherAls behaupten, dass Hacker, darunter vom chinesischen Staat, aber auch von Russland unterstützte Gruppen, mehr als 840.000 Angriffe gestartet haben gegen Unternehmen auf der ganzen Welt seit letztem Freitag durch diese Schwachstelle.
Die Cybersicherheitsgruppe Check Point sagte die damit verbundenen Angriffe mit der Sicherheitslücke, die sie in den 72 Stunden seit Freitag beschleunigt hatten, und ihre Ermittler sahen zeitweise mehr als 100 Angriffe pro Minute.
Der Redakteur stellte auch große Kreativität bei der Anpassung des Angriffs fest. Manchmal erscheinen in weniger als 60 Stunden mehr als 24 neue Variationen, die neue Verschleierungs- oder Codierungstechniken einführen.
Laut Charles Carmakal, Chief Technology Officer des Cyber-Unternehmens Mandiant, werden auch "chinesische Regierungsangreifer" erwähnt.
Der Log4J-Fehler ermöglicht es Angreifern, die Fernsteuerung von Computern zu übernehmen, auf denen Java-Anwendungen ausgeführt werden.
Jen östlich, Direktor der US-amerikanischen Cyber- und Infrastruktursicherheitsbehörde (CISA), sagte an Führungskräfte der Branche, die Die Sicherheitslücke war "eine der schwerwiegendsten, die ich in meiner gesamten Karriere gesehen habe, wenn nicht die schwerwiegendste", nach Angaben der amerikanischen Medien. Hunderte Millionen Geräte seien wahrscheinlich betroffen, sagte er.
Check Point sagte, dass Hacker in vielen Fällen Computer übernehmen und sie verwenden, um Kryptowährungen zu minen oder Teil von Botnets zu werden, mit riesigen Computernetzwerken, die verwendet werden können, um den Website-Verkehr zu überfordern, Spam zu senden oder für andere illegale Zwecke.
Für Kaspersky kommen die meisten Angriffe aus Russland.
CISA und das britische National Centre for Cyber Security haben Warnungen herausgegeben, in denen Unternehmen aufgefordert werden, Updates im Zusammenhang mit der Log4J-Sicherheitslücke vorzunehmen, da Experten versuchen, die Folgen abzuschätzen.
Amazon, Apple, IBM, Microsoft und Cisco gehören zu denen, die sich beeilen, Lösungen einzuführen, aber es wurden keine ernsthaften Verstöße öffentlich gemeldet, bis
Die Schwachstelle betrifft zuletzt Unternehmensnetzwerke, nachdem im vergangenen Jahr Sicherheitslücken in gängiger Software von Microsoft und dem Computerunternehmen SolarWinds aufgetreten waren. Beide Schwachstellen wurden Berichten zufolge zunächst von staatlich unterstützten Spionagegruppen aus China bzw. Russland ausgenutzt.
Carmakal von Mandiant sagte, dass chinesische staatlich unterstützte Akteure ebenfalls versuchen, den Log4J-Bug auszunutzen, aber er lehnte es ab, weitere Details mitzuteilen. SentinelOne-Forscher teilten den Medien auch mit, dass sie beobachtet hatten, wie chinesische Hacker die Sicherheitsanfälligkeit ausnutzten.
CERT-FR empfiehlt eine gründliche Analyse der Netzwerkprotokolle. Die folgenden Gründe können verwendet werden, um einen Versuch zu identifizieren, diese Sicherheitsanfälligkeit auszunutzen, wenn sie in URLs oder bestimmten HTTP-Headern als Benutzeragent verwendet wird
Es wird dringend empfohlen, so bald wie möglich log2.15.0j Version 4 zu verwenden. Bei Schwierigkeiten bei der Migration auf diese Version können jedoch vorübergehend die folgenden Lösungen angewendet werden:
Für Anwendungen, die Versionen 2.7.0 und höher der log4j-Bibliothek verwenden, ist es möglich, sich gegen jeden Angriff zu schützen, indem das Format der Ereignisse geändert wird, die mit der Syntax% m {nolookups} für die Daten, die der Benutzer bereitstellen würde, protokolliert werden.
Fast die Hälfte aller Angriffe wurden laut Check Point von bekannten Cyber-Angreifern ausgeführt. Dazu gehören Gruppen, die Tsunami und Mirai verwenden, Malware, die Geräte in Botnets verwandelt, oder Netzwerke, die für ferngesteuerte Angriffe wie Denial-of-Service-Angriffe verwendet werden. Es umfasste auch Gruppen, die XMRig verwenden, eine Software, die die digitale Währung Monero ausnutzt.
„Mit dieser Schwachstelle erhalten Angreifer nahezu unbegrenzte Macht: Sie können vertrauliche Daten extrahieren, Dateien auf den Server hochladen, Daten löschen, Ransomware installieren oder auf andere Server wechseln“, sagt Nicholas Sciberras, Chief Engineering Officer, Vulnerability Scanner von Acunetix. Es sei "überraschend einfach", einen Angriff durchzuführen, sagte er und fügte hinzu, der Fehler werde "in den nächsten Monaten ausgenutzt".