Hiljuti kommenteerisime Log4J ebaõnnestumist ja selles väljaandes soovime jagada teavet, et TeadlasedKui väidavad, et häkkerid, sealhulgas Hiina riigi, aga ka Venemaa toetatud rühmitused, on käivitanud üle 840.000 XNUMX rünnaku selle haavatavuse kaudu alates eelmisest reedest üle maailma ettevõtete vastu.
Küberturvalisuse grupp Check Point ütles seotud rünnakute kohta haavatavusega, mida nad olid 72 tunni jooksul alates reedest kiirendanud, ja kohati nägid nende uurijad rohkem kui 100 rünnakut minutis.
Toimetaja märkis ka suurt loovust rünnaku kohandamisel. Mõnikord ilmub vähem kui 60 tunni jooksul rohkem kui 24 uut variatsiooni, mis tutvustavad uusi hägustamis- või kodeerimistehnikaid.
Küberettevõtte Mandiant tehnoloogiajuhi Charles Carmakali sõnul mainitakse "Hiina valitsuse ründajaid".
Log4J viga võimaldab ründajatel võtta Java-rakendusi töötavate arvutite kaugjuhtimise üle.
Jen ida poole, Ameerika Ühendriikide küber- ja infrastruktuuriturbe agentuuri (CISA) direktor, DIJO tööstuse juhtidele, et Haavatavus oli "üks tõsisemaid, mida ma kogu oma karjääri jooksul näinud olen, kui mitte kõige tõsisem". Ameerika meedia andmetel. Ta ütles, et see mõjutab tõenäoliselt sadu miljoneid seadmeid.
Check Point ütles, et paljudel juhtudel hõivavad häkkerid arvuteid ja kasutavad neid krüptovaluutade kaevandamiseks või botnettide osaks saamiseks, kus on tohutuid arvutivõrke, mida saab kasutada veebisaidi liikluse ülekoormamiseks, rämpsposti saatmiseks või muudel ebaseaduslikel eesmärkidel.
Kaspersky jaoks tuleb enamik rünnakuid Venemaalt.
CISA ja Ühendkuningriigi riiklik küberjulgeoleku keskus on väljastanud hoiatusi, kutsudes organisatsioone üles tegema Log4J haavatavusega seotud värskendusi, kuna eksperdid püüavad tagajärgi hinnata.
Amazon, Apple, IBM, Microsoft ja Cisco on nende hulgas, kes kiirustavad lahendusi välja töötama, kuid tõsistest rikkumistest pole seni avalikult teatatud.
Haavatavus on viimane, mis mõjutab ettevõtete võrke, pärast seda, kui Microsofti ja arvutiettevõtte SolarWinds tavakasutustarkvaras ilmnesid viimase aasta jooksul haavatavused. Väidetavalt kasutasid mõlemat haavatavust algselt ära riigi toetatud spioonirühmad vastavalt Hiinast ja Venemaalt.
Mandianti Carmakal ütles, et Hiina riigi toetatud näitlejad üritavad samuti Log4J viga ära kasutada, kuid ta keeldus lisateavet jagamast. SentinelOne'i teadlased rääkisid ka meediale, et nad on täheldanud Hiina häkkereid haavatavust ära kasutamas.
CERT-FR soovitab võrgulogide põhjalikku analüüsi. Selle haavatavuse ärakasutamise katse tuvastamiseks võib kasutada järgmisi põhjuseid, kui seda kasutatakse URL-ides või teatud HTTP-päistes kasutajaagendina
On tungivalt soovitatav kasutada log2.15.0j versiooni 4 niipea kui võimalik. Kui sellele versioonile üleminekul tekib raskusi, saab ajutiselt rakendada järgmisi lahendusi:
Rakenduste puhul, mis kasutavad log2.7.0j teegi versioone 4 ja uuemaid, on võimalik kaitsta rünnakute eest, muutes sündmuste vormingut, mis logitakse süntaksiga% m {nolookups} nende andmete jaoks, mida kasutaja esitab .
Check Pointi andmetel on peaaegu pooled kõigist rünnakutest sooritanud teadaolevad küberründajad. Nende hulka kuulusid rühmad, mis kasutavad tsunamit ja Miraid, pahavara, mis muudab seadmed botnettideks, või võrke, mida kasutatakse kaugjuhitavate rünnakute (nt teenuse keelamise rünnakute) käivitamiseks. See hõlmas ka rühmi, mis kasutavad XMRig-i, tarkvara, mis kasutab Monero digitaalset valuutat.
"Selle haavatavusega saavad ründajad peaaegu piiramatu võimsuse: nad saavad hankida konfidentsiaalseid andmeid, laadida faile serverisse, kustutada andmeid, installida lunavara või lülituda teistele serveritele," ütles Nicholas Sciberras, Acunetixi haavatavuse skanneri peainsener. Rünnaku rakendamine oli "üllatavalt lihtne", ütles ta ja lisas, et viga "kasutatakse ära järgmise paari kuu jooksul".