nedavno komentirali smo neuspjeh Log4J-a a u ovoj publikaciji želimo podijeliti informacije da je istraživačikao tvrde da su hakeri, uključujući grupe koje podržava kineska država, ali i Rusija, pokrenuli više od 840.000 napada protiv tvrtki diljem svijeta od prošlog petka kroz ovu ranjivost.
Grupa za kibernetičku sigurnost Check Point je rekao o povezanim napadima s ranjivosti koju su ubrzali u 72 sata od petka, a ponekad su njihovi istražitelji vidjeli više od 100 napada u minuti.
Urednik je također istaknuo veliku kreativnost u prilagođavanju napada. Ponekad se više od 60 novih varijacija pojavi u manje od 24 sata, uvodeći nove tehnike zamagljivanja ili kodiranja.
Spominju se da su uključeni i "napadači kineske vlade", kaže Charles Carmakal, glavni tehnološki službenik za cyber tvrtku Mandiant.
Mana Log4J omogućuje napadačima da preuzmu daljinsku kontrolu nad računalima na kojima se pokreću Java aplikacije.
Jen na istoku, direktor američke Agencije za kibernetičku i infrastrukturnu sigurnost (CISA), dijo rukovoditeljima industrije koji Ranjivost je bila "jedna od najozbiljnijih koje sam vidio u cijeloj svojoj karijeri, ako ne i najozbiljnija", prema američkim medijima. Vjerojatno će biti pogođene stotine milijuna uređaja, rekao je.
Check Point je rekao da u mnogim slučajevima hakeri zaplijene računala i koriste ih za rudarenje kriptovaluta ili postanu dio botneta, s ogromnim računalnim mrežama koje se mogu koristiti za preopterećenje prometa na web stranici, slanje neželjene pošte ili u druge nezakonite svrhe.
Za Kaspersky, većina napada dolazi iz Rusije.
CISA i britanski Nacionalni centar za kibernetičku sigurnost izdali su upozorenja pozivajući organizacije da ažuriraju ranjivost Log4J, dok stručnjaci pokušavaju procijeniti posljedice.
Amazon, Apple, IBM, Microsoft i Cisco su među onima koji žure s uvođenjem rješenja, ali nijedna ozbiljna kršenja nisu javno prijavljena sve do
Ranjivost je posljednja koja utječe na korporativne mreže, nakon što su se tijekom prošle godine pojavile ranjivosti u softveru za uobičajenu upotrebu Microsofta i računalne tvrtke SolarWinds. Obje su ranjivosti navodno u početku iskoristile špijunske skupine koje podržava država iz Kine, odnosno Rusije.
Mandiantov Carmakal rekao je da kineski glumci koje podržava država također pokušavaju iskoristiti grešku Log4J, ali je odbio podijeliti dodatne detalje. Istraživači SentinelOne također su rekli medijima da su primijetili kako kineski hakeri iskorištavaju ranjivost.
CERT-FR preporučuje temeljitu analizu mrežnih dnevnika. Sljedeći se razlozi mogu koristiti za identificiranje pokušaja iskorištavanja ove ranjivosti kada se koristi u URL-ovima ili određenim HTTP zaglavljima kao korisnički agent
Izričito se preporučuje korištenje log2.15.0j verzije 4 što je prije moguće. Međutim, u slučaju poteškoća s migracijom na ovu verziju, mogu se privremeno primijeniti sljedeća rješenja:
Za aplikacije koje koriste verziju 2.7.0 i novije biblioteke log4j, moguće je zaštititi se od bilo kakvog napada promjenom formata događaja koji će se bilježiti sintaksom% m {nolookups} za podatke koje bi korisnik dostavio.
Prema Check Pointu, gotovo polovicu svih napada izveli su poznati cyber napadači. To uključuje grupe koje koriste Tsunami i Mirai, zlonamjerni softver koji pretvara uređaje u botnetove ili mreže koje se koriste za pokretanje daljinski kontroliranih napada, kao što su napadi uskraćivanja usluge. Također je uključivao grupe koje koriste XMRig, softver koji iskorištava digitalnu valutu Monero.
"Uz ovu ranjivost, napadači dobivaju gotovo neograničenu moć: mogu izdvojiti povjerljive podatke, prenijeti datoteke na poslužitelj, izbrisati podatke, instalirati ransomware ili se prebaciti na druge poslužitelje", rekao je Nicholas Sciberras, glavni inženjer Acunetixa, skener ranjivosti. Bilo je "iznenađujuće lako" provesti napad, rekao je, dodajući da će mana biti "iskorištena u sljedećih nekoliko mjeseci".