לאחרונה הערנו על הכישלון של Log4J ובפרסום זה ברצוננו לחלוק מידע ש- חוקריםכמו טוענים שהאקרים, כולל קבוצות הנתמכות על ידי המדינה הסינית אך גם על ידי רוסיה, פתחו יותר מ-840.000 התקפות נגד חברות ברחבי העולם מאז יום שישי האחרון דרך הפגיעות הזו.
קבוצת אבטחת הסייבר צ'ק פוינט אמרה שההתקפות הקשורות לכך עם הפגיעות שהם האיצו ב-72 השעות מאז יום שישי, ולעתים החוקרים שלהם ראו יותר מ-100 התקפות בדקה.
העורך גם ציין יצירתיות רבה בהתאמת המתקפה. לפעמים יותר מ-60 וריאציות חדשות מופיעות תוך פחות מ-24 שעות, ומציגות טכניקות ערפול או קידוד חדשות.
"תוקפי ממשלת סין" מוזכרים כלולים, על פי צ'ארלס קרמקאל, קצין הטכנולוגיה הראשי של חברת הסייבר Mandiant.
הפגם ב-Log4J מאפשר לתוקפים להשתלט מרחוק על מחשבים המריצים יישומי Java.
ג'ן איסטרלי, מנהל סוכנות הסייבר והתשתיות של ארצות הברית (CISA), דיג'ו למנהלים בתעשייה הפגיעות הייתה "אחת הרציניות שראיתי בכל הקריירה שלי, אם לא הרצינית ביותר", לפי התקשורת האמריקאית. מאות מיליוני מכשירים צפויים להיות מושפעים, אמר.
צ'ק פוינט אמרה שבמקרים רבים האקרים משתלטים על מחשבים ומשתמשים בהם כדי לכרות מטבעות קריפטוגרפיים או להפוך לחלק מרשתות בוטנים, עם רשתות מחשבים עצומות שיכולות לשמש כדי להציף את תעבורת האתר, לשלוח דואר זבל או למטרות לא חוקיות אחרות.
עבור קספרסקי, רוב ההתקפות מגיעות מרוסיה.
CISA ומרכז אבטחת הסייבר הלאומי של בריטניה פרסמו התראות הקוראות לארגונים לבצע עדכונים הקשורים לפגיעות Log4J, כאשר מומחים מנסים להעריך את ההשלכות.
אמזון, אפל, יבמ, מיקרוסופט וסיסקו הן בין הממהרות להשיק פתרונות, אך לא דווחו בפומבי על הפרות חמורות עד
הפגיעות היא האחרונה שהשפיעה על רשתות ארגוניות, לאחר שצצו פרצות במהלך השנה האחרונה בתוכנות בשימוש נפוץ של מיקרוסופט וחברת המחשבים SolarWinds. לפי הדיווח, שתי הפגיעות נוצלו בתחילה על ידי קבוצות ריגול מגובות על ידי המדינה מסין ורוסיה, בהתאמה.
Carmakal של Mandiant אמר כי שחקנים הנתמכים על ידי מדינה סיניים מנסים גם הם לנצל את באג Log4J, אך הוא סירב לחלוק פרטים נוספים. חוקרי SentinelOne גם אמרו לתקשורת שהם צפו בהאקרים סינים מנצלים את הפגיעות.
CERT-FR ממליץ על ניתוח יסודי של יומני הרשת. ניתן להשתמש בסיבות הבאות כדי לזהות ניסיון לנצל את הפגיעות הזו בשימוש בכתובות URL או בכותרות HTTP מסוימות כסוכן משתמש
מומלץ מאוד להשתמש ב-log2.15.0j גרסה 4 בהקדם האפשרי. עם זאת, במקרה של קשיים במעבר לגרסה זו, ניתן ליישם זמנית את הפתרונות הבאים:
עבור יישומים המשתמשים בגרסאות 2.7.0 ואילך של ספריית log4j, ניתן להגן מפני כל התקפה על ידי שינוי פורמט האירועים שיירשמו עם התחביר% m {nolookups} עבור הנתונים שהמשתמש יספק .
כמעט מחצית מכלל ההתקפות בוצעו על ידי תוקפי סייבר ידועים, לפי צ'ק פוינט. אלה כללו קבוצות המשתמשות בצונאמי ובמיראי, תוכנות זדוניות שהופכות מכשירים לרשתות בוטים, או רשתות המשמשות להפעלת התקפות נשלטות מרחוק, כגון התקפות מניעת שירות. הוא כלל גם קבוצות המשתמשות ב-XMRig, תוכנה המנצלת את המטבע הדיגיטלי Monero.
"עם הפגיעות הזו, התוקפים מקבלים כוח כמעט בלתי מוגבל: הם יכולים לחלץ נתונים סודיים, להעלות קבצים לשרת, למחוק נתונים, להתקין תוכנות כופר או לעבור לשרתים אחרים", אמר ניקולס סקיבררס, מנהל ההנדסה הראשי של Acunetix, סורק הפגיעות. זה היה "קל באופן מפתיע" ליישם מתקפה, אמר, והוסיף כי הפגם "ינוצל בחודשים הקרובים".