recentemente abbiamo commentato il fallimento di Log4J e in questa pubblicazione vorremmo condividere le informazioni che il ricercatoriCome affermano che gli hacker, compresi i gruppi supportati dallo stato cinese ma anche dalla Russia, hanno lanciato più di 840.000 attacchi contro le aziende di tutto il mondo dallo scorso venerdì attraverso questa vulnerabilità.
Il gruppo di sicurezza informatica Check Point ha detto che i relativi attacchi con la vulnerabilità che avevano accelerato nelle 72 ore da venerdì, e a volte i loro investigatori vedevano più di 100 attacchi al minuto.
L'editore ha anche notato una grande creatività nell'adattare l'attacco. A volte compaiono più di 60 nuove variazioni in meno di 24 ore, introducendo nuove tecniche di offuscamento o di codifica.
Secondo Charles Carmakal, chief technology officer della società informatica Mandiant, vengono menzionati gli "attaccanti del governo cinese".
Il difetto Log4J consente agli aggressori di assumere il controllo remoto dei computer che eseguono applicazioni Java.
Jen est, direttore della Cyber and Infrastructure Security Agency (CISA) degli Stati Uniti, suddetto ai dirigenti del settore che La vulnerabilità è stata "una delle più serie che ho visto in tutta la mia carriera, se non la più grave", secondo i media americani. È probabile che centinaia di milioni di dispositivi siano interessati, ha affermato.
Check Point ha affermato che in molti casi gli hacker prendono il controllo dei computer e li usano per estrarre criptovalute o diventare parte di botnet, con vaste reti di computer che possono essere utilizzate per sopraffare il traffico del sito Web, inviare spam o per altri scopi illegali.
Per Kaspersky, la maggior parte degli attacchi viene dalla Russia.
La CISA e il National Cyber Security Center del Regno Unito hanno emesso avvisi invitando le organizzazioni a effettuare aggiornamenti relativi alla vulnerabilità di Log4J, mentre gli esperti cercano di valutarne le conseguenze.
Amazon, Apple, IBM, Microsoft e Cisco sono tra coloro che si stanno affrettando a implementare soluzioni, ma nessuna violazione grave è stata segnalata pubblicamente fino a quando
La vulnerabilità è l'ultima a colpire le reti aziendali, dopo che lo scorso anno sono emerse vulnerabilità nel software di uso comune di Microsoft e della società di computer SolarWinds. Secondo quanto riferito, entrambe le vulnerabilità sono state inizialmente sfruttate da gruppi di spionaggio sostenuti dallo stato rispettivamente da Cina e Russia.
Carmakal di Mandiant ha affermato che anche gli attori sostenuti dallo stato cinesi stanno cercando di sfruttare il bug Log4J, ma ha rifiutato di condividere ulteriori dettagli. I ricercatori di SentinelOne hanno anche dichiarato ai media di aver osservato gli hacker cinesi approfittare della vulnerabilità.
CERT-FR raccomanda un'analisi approfondita dei log di rete. I seguenti motivi possono essere utilizzati per identificare un tentativo di sfruttare questa vulnerabilità quando utilizzata negli URL o in determinate intestazioni HTTP come agente utente
Si consiglia vivamente di utilizzare log2.15.0j versione 4 il prima possibile. Tuttavia, in caso di difficoltà durante la migrazione a questa versione, è possibile applicare temporaneamente le seguenti soluzioni:
Per le applicazioni che utilizzano le versioni 2.7.0 e successive della libreria log4j, è possibile proteggersi da qualsiasi attacco modificando il formato degli eventi che verranno registrati con la sintassi% m {nolookups} per i dati che l'utente fornirebbe .
Secondo Check Point, quasi la metà di tutti gli attacchi sono stati effettuati da noti cybercriminali. Questi includevano gruppi che utilizzano Tsunami e Mirai, malware che trasforma i dispositivi in botnet o reti utilizzate per lanciare attacchi controllati da remoto, come attacchi denial of service. Comprendeva anche gruppi che utilizzano XMRig, software che sfrutta la valuta digitale Monero.
"Con questa vulnerabilità, gli aggressori ottengono un potere quasi illimitato: possono estrarre dati riservati, caricare file sul server, eliminare dati, installare ransomware o passare ad altri server", ha affermato Nicholas Sciberras, chief engineering officer di Acunetix, vulnerability scanner. È stato "sorprendentemente facile" implementare un attacco, ha detto, aggiungendo che il difetto sarebbe stato "sfruttato nei prossimi mesi".