Neseniai pakomentavome Log4J gedimą ir šiame leidinyje norėtume pasidalinti informacija, kad investigadoresKaip teigia, kad įsilaužėliai, įskaitant Kinijos valstybės, bet ir Rusijos remiamas grupes, surengė daugiau nei 840.000 tūkst. prieš įmones visame pasaulyje nuo praėjusio penktadienio dėl šio pažeidžiamumo.
Kibernetinio saugumo grupė „Check Point“ pranešė apie susijusias atakas Dėl pažeidžiamumo jie paspartėjo per 72 valandas nuo penktadienio, o kartais jų tyrėjai matydavo daugiau nei 100 atakų per minutę.
Redaktorius taip pat pastebėjo didelį kūrybiškumą pritaikant ataką. Kartais per mažiau nei 60 valandas atsiranda daugiau nei 24 naujų variantų, pristatančių naujų užmaskavimo ar kodavimo metodų.
Kibernetinės bendrovės „Mandiant“ vyriausiojo technologijų pareigūno Charleso Carmakalo teigimu, minimi kaip įtraukti „Kinijos vyriausybės užpuolikai“.
Log4J trūkumas leidžia užpuolikams nuotoliniu būdu valdyti kompiuterius, kuriuose veikia „Java“ programos.
Jen į rytus, Jungtinių Valstijų kibernetinio ir infrastruktūros saugumo agentūros (CISA) direktorius, sakė pramonės vadovams, kad Pažeidžiamumas buvo „vienas rimčiausių, kokį mačiau per visą savo karjerą, jei ne pats rimčiausias“. pasak Amerikos žiniasklaidos. Tikėtina, kad bus paveikta šimtai milijonų įrenginių, sakė jis.
„Check Point“ teigė, kad daugeliu atvejų įsilaužėliai perima kompiuterius ir naudoja juos kriptovaliutoms išgauti arba tapti „botnetų“ dalimi, turinčiais didžiulius kompiuterių tinklus, kurie gali būti naudojami interneto svetainių srautui perkrauti, šiukšlių siuntimui ar kitais neteisėtais tikslais.
Dauguma „Kaspersky“ atakų yra iš Rusijos.
CISA ir JK nacionalinis kibernetinio saugumo centras paskelbė įspėjimus, ragindami organizacijas atnaujinti su Log4J pažeidžiamumu, nes ekspertai bando įvertinti pasekmes.
„Amazon“, „Apple“, IBM, „Microsoft“ ir „Cisco“ yra tarp tų, kurie skuba diegti sprendimus, tačiau iki tol nebuvo viešai pranešta apie rimtus pažeidimus.
Pažeidžiamumas vėliausiai paveikė įmonių tinklus, po to, kai per pastaruosius metus atsirado pažeidžiamumų bendro naudojimo programinėje įrangoje iš Microsoft ir kompiuterių bendrovės SolarWinds. Pranešama, kad abi spragas iš pradžių išnaudojo atitinkamai Kinijos ir Rusijos valstybės remiamos šnipų grupės.
„Mandiant's Carmakal“ teigė, kad Kinijos valstybės remiami veikėjai taip pat bando išnaudoti „Log4J“ klaidą, tačiau jis atsisakė pasidalyti daugiau detalių. „SentinelOne“ tyrėjai žiniasklaidai taip pat sakė, kad pastebėjo Kinijos programišius, besinaudojančius pažeidžiamumu.
CERT-FR rekomenduoja atlikti išsamią tinklo žurnalų analizę. Šios priežastys gali būti naudojamos siekiant nustatyti bandymą išnaudoti šį pažeidžiamumą, kai jis naudojamas URL arba tam tikrose HTTP antraštėse kaip vartotojo priemonė
Primygtinai rekomenduojama kuo greičiau naudoti log2.15.0j 4 versiją. Tačiau, jei kyla sunkumų pereinant prie šios versijos, laikinai gali būti taikomi šie sprendimai:
Programoms, kurios naudoja 2.7.0 ir naujesnes log4j bibliotekos versijas, galima apsisaugoti nuo bet kokios atakos modifikuojant įvykių, kurie bus registruojami naudojant vartotojo pateiktų duomenų sintaksę% m {nolookups}, formatą. .
„Check Point“ duomenimis, beveik pusę visų atakų įvykdė žinomi kibernetiniai užpuolikai. Tai apėmė grupes, kurios naudoja Cunami ir Mirai, kenkėjiškas programas, kurios paverčia įrenginius robotų tinklais, arba tinklus, naudojamus nuotoliniu būdu valdomoms atakoms, pvz., paslaugų atsisakymo atakoms, vykdyti. Ji taip pat apėmė grupes, kurios naudoja XMRig – programinę įrangą, kuri naudoja skaitmeninę Monero valiutą.
„Turėdami šį pažeidžiamumą, užpuolikai įgyja beveik neribotą galią: jie gali išgauti konfidencialius duomenis, įkelti failus į serverį, ištrinti duomenis, įdiegti išpirkos reikalaujančią programinę įrangą arba pereiti prie kitų serverių“, – sakė Nicholas Sciberras, „Acunetix“ pažeidžiamumo skaitytuvo vyriausiasis inžinierius. Ataką įgyvendinti buvo „stebėtinai lengva“, sakė jis ir pridūrė, kad ši klaida bus „išnaudota per ateinančius kelis mėnesius“.