최근에 우리는 Log4J의 실패에 대해 논평했습니다. 이 간행물에서 우리는 다음과 같은 정보를 공유하고자 합니다. 연구원으로 중국 국가와 러시아가 지원하는 그룹을 포함한 해커가 840.000건 이상의 공격을 시작했다고 주장 지난 금요일부터 이 취약점을 통해 전 세계 기업들을 상대로
사이버 보안 그룹 Check Point는 관련 공격이 취약점으로 인해 그들은 금요일 이후 72시간 동안 가속화되었으며 때때로 조사관은 분당 100건 이상의 공격을 목격했습니다.
편집자는 또한 공격을 조정하는 데 있어 대단한 창의성을 언급했습니다. 때로는 60개 이상의 새로운 변형이 24시간 이내에 나타나 새로운 난독화 또는 코딩 기술을 도입합니다.
사이버 회사 Mandiant의 CTO인 Charles Carmakal에 따르면 "중국 정부 공격자"가 포함된 것으로 언급되었습니다.
Log4J 결함은 공격자가 Java 애플리케이션을 실행하는 컴퓨터를 원격으로 제어할 수 있도록 합니다.
젠 이스털리, 미국 사이버 및 인프라 보안국(CISA) 국장, 말 업계 경영진에게 취약점은 "가장 심각한 것은 아니더라도 내 전체 경력에서 본 가장 심각한 것 중 하나"였습니다. 미국 언론에 따르면. 수억 대의 장치가 영향을 받을 가능성이 있다고 그는 말했습니다.
Check Point는 많은 경우 해커가 컴퓨터를 압수하여 암호 화폐를 채굴하거나 봇넷의 일부가 되는 데 사용한다고 밝혔습니다.
Kaspersky의 경우 대부분의 공격이 러시아에서 발생합니다..
CISA와 영국 사이버 보안 센터(National Center for Cyber Security)는 전문가들이 결과를 평가하려고 시도함에 따라 Log4J 취약점과 관련된 업데이트를 조직에 촉구하는 경고를 발표했습니다.
Amazon, Apple, IBM, Microsoft 및 Cisco는 솔루션 출시를 서두르고 있지만 심각한 침해 사고는 공개적으로 보고된 적이 없습니다.
취약점은 기업 네트워크에 영향을 미치는 최신 버전입니다., 지난 XNUMX년 동안 Microsoft와 컴퓨터 회사인 SolarWinds의 공용 소프트웨어에서 취약점이 나타난 후. 두 취약점 모두 처음에는 각각 중국과 러시아의 국가 지원 스파이 그룹에 의해 악용된 것으로 알려졌습니다.
Mandiant의 Carmakal은 중국 정부의 지원을 받는 행위자들도 Log4J 버그를 악용하려고 시도하고 있지만 자세한 내용을 공유하는 것을 거부했다고 말했습니다. SentinelOne 연구원들은 또한 중국 해커가 취약점을 이용하는 것을 목격했다고 언론에 말했습니다.
CERT-FR 네트워크 로그에 대한 철저한 분석을 권장합니다.. URL이나 특정 HTTP 헤더에서 user-agent로 사용될 때 이 취약점을 악용하려는 시도를 식별하기 위해 다음과 같은 이유가 사용될 수 있습니다.
가능한 한 빨리 log2.15.0j 버전 4을 사용하는 것이 좋습니다. 그러나 이 버전으로 마이그레이션하는 데 문제가 있는 경우 다음 솔루션을 일시적으로 적용할 수 있습니다.
log2.7.0j 라이브러리 버전 4 이상을 사용하는 애플리케이션의 경우 사용자가 제공할 데이터에 대해 % m {nolookups} 구문으로 기록될 이벤트 형식을 수정하여 공격으로부터 보호할 수 있습니다. .
Check Point에 따르면 모든 공격의 거의 절반이 알려진 사이버 공격자에 의해 수행되었습니다. 여기에는 쓰나미와 미라이, 장치를 봇넷으로 바꾸는 멀웨어, 서비스 거부 공격과 같은 원격 제어 공격을 실행하는 데 사용되는 네트워크를 사용하는 그룹이 포함됩니다. 여기에는 Monero 디지털 통화를 이용하는 소프트웨어인 XMRig를 사용하는 그룹도 포함되었습니다.
Acunetix의 취약점 스캐너 최고 엔지니어링 책임자인 Nicholas Sciberras는 "이 취약점을 통해 공격자는 거의 무제한의 힘을 얻습니다. 공격자는 기밀 데이터를 추출하고, 서버에 파일을 업로드하고, 데이터를 삭제하고, 랜섬웨어를 설치하거나, 다른 서버로 전환할 수 있습니다."라고 말했습니다. 그는 공격을 구현하는 것이 "놀라울 정도로 쉬웠다"며 이 결함이 "향후 몇 달 안에 악용될 것"이라고 덧붙였다.