Πρόσφατα σχολιάσαμε την αποτυχία του Log4J και σε αυτή τη δημοσίευση θα θέλαμε να μοιραστούμε πληροφορίες ότι το ερευνητέςΩς ισχυρίζονται ότι χάκερ, συμπεριλαμβανομένων ομάδων που υποστηρίζονται από το κινεζικό κράτος αλλά και από τη Ρωσία, έχουν εξαπολύσει περισσότερες από 840.000 επιθέσεις εναντίον εταιρειών σε όλο τον κόσμο από την περασμένη Παρασκευή μέσω αυτής της ευπάθειας.
Η ομάδα κυβερνοασφάλειας Το Check Point είπε τις σχετικές επιθέσεις με την ευπάθεια είχε επιταχυνθεί στις 72 ώρες από την Παρασκευή, και κατά καιρούς οι ερευνητές της έβλεπαν περισσότερες από 100 επιθέσεις ανά λεπτό.
Ο εκδότης σημείωσε επίσης μεγάλη δημιουργικότητα στην προσαρμογή της επίθεσης. Μερικές φορές εμφανίζονται περισσότερες από 60 νέες παραλλαγές σε λιγότερο από 24 ώρες, εισάγοντας νέες τεχνικές συσκότισης ή κωδικοποίησης.
Σύμφωνα με τον Τσαρλς Καρμακάλ, επικεφαλής τεχνολογίας για την εταιρεία στον κυβερνοχώρο Mandiant, αναφέρονται ως «επιτιθέμενοι της κινεζικής κυβέρνησης».
Το ελάττωμα Log4J επιτρέπει στους εισβολείς να αναλαμβάνουν απομακρυσμένο έλεγχο υπολογιστών που εκτελούν εφαρμογές Java.
Τζεν Πάσχλι, διευθυντής της Υπηρεσίας για την Ασφάλεια στον Κυβερνοχώρο και την Υποδομή των Ηνωμένων Πολιτειών (CISA), dijo σε στελέχη του κλάδου που Η ευπάθεια ήταν "ένα από τα πιο σοβαρά που έχω δει σε όλη μου την καριέρα, αν όχι το πιο σοβαρό", σύμφωνα με τα αμερικανικά ΜΜΕ. Εκατοντάδες εκατομμύρια συσκευές είναι πιθανό να επηρεαστούν, είπε.
Η Check Point είπε ότι σε πολλές περιπτώσεις, οι χάκερ καταλαμβάνουν υπολογιστές και τους χρησιμοποιούν για την εξόρυξη κρυπτονομισμάτων ή για να γίνουν μέρος botnet, με τεράστια δίκτυα υπολογιστών που μπορούν να χρησιμοποιηθούν για να κατακλύσουν την επισκεψιμότητα του ιστότοπου, να στείλουν ανεπιθύμητα μηνύματα ή για άλλους παράνομους σκοπούς.
Για την Kaspersky, οι περισσότερες επιθέσεις προέρχονται από τη Ρωσία.
Η CISA και το Εθνικό Κέντρο Κυβερνοασφάλειας του Ηνωμένου Βασιλείου έχουν εκδώσει ειδοποιήσεις καλώντας τους οργανισμούς να κάνουν ενημερώσεις σχετικά με την ευπάθεια Log4J, καθώς οι ειδικοί προσπαθούν να αξιολογήσουν τις συνέπειες.
Η Amazon, η Apple, η IBM, η Microsoft και η Cisco είναι μεταξύ εκείνων που σπεύδουν να αναπτύξουν λύσεις, αλλά καμία σοβαρή παραβίαση δεν έχει αναφερθεί δημόσια μέχρι
Η ευπάθεια είναι η πιο πρόσφατη που επηρεάζει τα εταιρικά δίκτυα, αφού εμφανίστηκαν τρωτά σημεία τον περασμένο χρόνο σε λογισμικό κοινής χρήσης από τη Microsoft και την εταιρεία υπολογιστών SolarWinds. Και οι δύο ευπάθειες φέρεται να χρησιμοποιήθηκαν αρχικά από υποστηριζόμενες από το κράτος κατασκοπευτικές ομάδες από την Κίνα και τη Ρωσία, αντίστοιχα.
Ο Carmakal της Mandiant είπε ότι κινέζοι υποστηριζόμενοι από το κράτος ηθοποιοί προσπαθούν επίσης να εκμεταλλευτούν το σφάλμα Log4J, αλλά αρνήθηκε να μοιραστεί περισσότερες λεπτομέρειες. Οι ερευνητές του SentinelOne είπαν επίσης στα μέσα ενημέρωσης ότι είχαν παρατηρήσει Κινέζους χάκερ να εκμεταλλεύονται την ευπάθεια.
CERT-FR συνιστά μια ενδελεχή ανάλυση των αρχείων καταγραφής δικτύου. Οι παρακάτω λόγοι μπορούν να χρησιμοποιηθούν για τον εντοπισμό μιας προσπάθειας εκμετάλλευσης αυτής της ευπάθειας όταν χρησιμοποιείται σε διευθύνσεις URL ή ορισμένες κεφαλίδες HTTP ως παράγοντας χρήστη
Συνιστάται ανεπιφύλακτα να χρησιμοποιήσετε το log2.15.0j έκδοση 4 το συντομότερο δυνατό. Ωστόσο, σε περίπτωση δυσκολιών μετάβασης σε αυτήν την έκδοση, μπορούν να εφαρμοστούν προσωρινά οι ακόλουθες λύσεις:
Για εφαρμογές που χρησιμοποιούν εκδόσεις 2.7.0 και μεταγενέστερες της βιβλιοθήκης log4j, είναι δυνατή η προστασία από οποιαδήποτε επίθεση τροποποιώντας τη μορφή των συμβάντων που θα καταγράφονται με τη σύνταξη% m {nolookups} για τα δεδομένα που θα παρείχε ο χρήστης .
Σχεδόν οι μισές από όλες τις επιθέσεις έχουν πραγματοποιηθεί από γνωστούς επιτιθέμενους στον κυβερνοχώρο, σύμφωνα με το Check Point. Αυτές περιελάμβαναν ομάδες που χρησιμοποιούν Tsunami και Mirai, κακόβουλο λογισμικό που μετατρέπει τις συσκευές σε botnet ή δίκτυα που χρησιμοποιούνται για την εκτόξευση απομακρυσμένων επιθέσεων, όπως επιθέσεις άρνησης υπηρεσίας. Περιλάμβανε επίσης ομάδες που χρησιμοποιούν XMRig, λογισμικό που εκμεταλλεύεται το ψηφιακό νόμισμα Monero.
«Με αυτήν την ευπάθεια, οι εισβολείς αποκτούν σχεδόν απεριόριστη ισχύ: μπορούν να εξάγουν εμπιστευτικά δεδομένα, να ανεβάζουν αρχεία στον διακομιστή, να διαγράφουν δεδομένα, να εγκαταστήσουν ransomware ή να μεταβαίνουν σε άλλους διακομιστές», δήλωσε ο Nicholas Sciberras, Chief Engineering Officer, σαρωτή ευπάθειας της Acunetix. Ήταν «παραδόξως εύκολο» να πραγματοποιηθεί μια επίθεση, είπε, προσθέτοντας ότι το ελάττωμα θα «εκμεταλλευόταν τους επόμενους μήνες».