nemrég kommentáltuk a Log4J kudarcát és ebben a kiadványban szeretnénk megosztani azt az információt, hogy a kutatókMint azt állítják, hogy hackerek, köztük a kínai állam, de Oroszország által támogatott csoportok is, több mint 840.000 XNUMX támadást indítottak e sebezhetőség révén múlt péntek óta világszerte vállalatokkal szemben.
A kiberbiztonsági csoport A Check Point szerint a kapcsolódó támadások azzal a sebezhetőséggel, amelyet a péntek óta eltelt 72 óra alatt felgyorsítottak, és időnként percenként több mint 100 támadást láttak nyomozóik.
A szerkesztő a támadás adaptálása során is nagy kreativitást mutatott be. Néha több mint 60 új változat jelenik meg kevesebb mint 24 óra alatt, új elhomályosítási vagy kódolási technikákat vezetve be.
Charles Carmakal, a Mandiant kibercég technológiai igazgatója szerint a "kínai kormánytámadók" szerepelnek benne.
A Log4J hibája lehetővé teszi a támadók számára, hogy távolról irányítsák a Java alkalmazásokat futtató számítógépeket.
Jen húsvétkor, az Egyesült Államok Kiber- és Infrastruktúra Biztonsági Ügynökségének (CISA) igazgatója, dijo iparági vezetőknek azt A sebezhetőség „az egyik legsúlyosabb, amit egész pályafutásom során láttam, ha nem a legsúlyosabb” volt. az amerikai média szerint. Valószínűleg több százmillió eszköz lesz érintett – mondta.
A Check Point szerint a hackerek sok esetben lefoglalják a számítógépeket, és kriptovaluták bányászására használják, vagy botnetek részévé válnak, hatalmas számítógépes hálózatokkal, amelyek a webhelyek forgalmának túlterhelésére, spam küldésére vagy más illegális célokra használhatók.
A Kaspersky esetében a legtöbb támadás Oroszországból érkezik.
A CISA és az Egyesült Királyság Nemzeti Kiberbiztonsági Központja riasztást adott ki, amelyben felszólítja a szervezeteket, hogy frissítsék a Log4J sebezhetőségét, miközben a szakértők megpróbálják felmérni a következményeket.
Az Amazon, az Apple, az IBM, a Microsoft és a Cisco azok közé tartozik, akik sietnek a megoldások bevezetésére, de komoly jogsértésekről eddig nem számoltak be.
A sérülékenység a legfrissebb a vállalati hálózatokat érinti, miután az elmúlt évben a Microsoft és a SolarWinds számítástechnikai cég általános használatú szoftvereiben sérülékenységek merültek fel. A hírek szerint kezdetben mindkét sebezhetőséget államilag támogatott kínai és oroszországi kémcsoportok használták ki.
A Mandiant's Carmakal elmondta, hogy a kínai államilag támogatott szereplők is megpróbálják kihasználni a Log4J hibáját, de nem volt hajlandó további részleteket megosztani. A SentinelOne kutatói azt is elmondták a médiának, hogy megfigyelték, hogy kínai hackerek kihasználták a sebezhetőséget.
CERT-FR javasolja a hálózati naplók alapos elemzését. A következő okok alapján azonosítható a sérülékenység kihasználására tett kísérlet, ha URL-ekben vagy bizonyos HTTP-fejlécekben felhasználói ügynökként használják
Erősen ajánlott a log2.15.0j 4 verziójának mielőbbi használata. Ha azonban nehézségekbe ütközik az erre a verzióra való átállás, átmenetileg a következő megoldások alkalmazhatók:
A log2.7.0j könyvtár 4-s és újabb verzióit használó alkalmazásoknál lehetőség van a támadások elleni védelemre az események formátumának módosításával, amelyek a % m {nolookups} szintaxissal lesznek naplózva a felhasználó által megadott adatokhoz. .
A Check Point szerint a támadások csaknem felét ismert kibertámadók hajtották végre. Ide tartoztak a Tsunamit és Mirait használó csoportok, az eszközöket botnetté alakító rosszindulatú programok, vagy olyan hálózatok, amelyek távvezérelt támadások indítására szolgálnak, például szolgáltatásmegtagadási támadásokra. Olyan csoportokat is tartalmazott, amelyek az XMRig szoftvert használják, amely a Monero digitális valutát használja ki.
"Ezzel a sérülékenységgel a támadók szinte korlátlan hatalomra tesznek szert: bizalmas adatokat nyerhetnek ki, fájlokat tölthetnek fel a szerverre, adatokat törölhetnek, zsarolóprogramokat telepíthetnek, vagy más szerverekre válthatnak" - mondta Nicholas Sciberras, az Acunetix sebezhetőségeket vizsgáló mérnöke. "Meglepően egyszerű" volt egy támadást végrehajtani, mondta, hozzátéve, hogy a hibát "a következő néhány hónapban kihasználják".