Nesen mēs komentējām Log4J neveiksmi un šajā publikācijā mēs vēlamies dalīties ar informāciju, ka PētniekiKā apgalvo, ka hakeri, tostarp Ķīnas valsts, bet arī Krievijas atbalstītās grupas, ir veikuši vairāk nekā 840.000 XNUMX uzbrukumu pret uzņēmumiem visā pasaulē kopš pagājušās piektdienas, izmantojot šo ievainojamību.
Kiberdrošības grupa Check Point teica par saistītajiem uzbrukumiem ievainojamība bija paātrinājusies 72 stundu laikā kopš piektdienas, un dažkārt tās izmeklētāji redzēja vairāk nekā 100 uzbrukumus minūtē.
Redaktors arī atzīmēja lielu radošumu uzbrukuma pielāgošanā. Dažkārt vairāk nekā 60 jaunu variantu parādās mazāk nekā 24 stundu laikā, ieviešot jaunas neskaidrības vai kodēšanas metodes.
"Ķīnas valdības uzbrucēji" ir minēti kā iekļauti, sacīja Čārlzs Karmakals, kiberkompānijas Mandiant galvenais tehnoloģiju speciālists.
Log4J trūkums ļauj uzbrucējiem attālināti vadīt datorus, kuros darbojas Java lietojumprogrammas.
Džena uz austrumiem, ASV Kiber un infrastruktūras drošības aģentūras (CISA) direktors, teica nozares vadītājiem, ka Ievainojamība bija "viena no nopietnākajām, ko esmu redzējis visā savā karjerā, ja ne pati nopietnākā". saskaņā ar amerikāņu medijiem. Viņš teica, ka, visticamāk, tiks ietekmēti simtiem miljonu ierīču.
Check Point teica, ka daudzos gadījumos hakeri pārņem datorus un izmanto tos, lai iegūtu kriptovalūtas vai kļūtu par daļu no robottīkliem ar plašiem datortīkliem, kurus var izmantot, lai pārslogotu vietņu trafiku, nosūtītu surogātpastu vai citiem nelikumīgiem mērķiem.
Kasperskim lielākā daļa uzbrukumu nāk no Krievijas.
CISA un Apvienotās Karalistes Nacionālais kiberdrošības centrs ir izplatījuši brīdinājumus, aicinot organizācijas veikt atjauninājumus saistībā ar Log4J ievainojamību, jo eksperti mēģina novērtēt sekas.
Amazon, Apple, IBM, Microsoft un Cisco ir starp tiem, kas steidzas ieviest risinājumus, taču līdz šim nav publiski ziņots par nopietniem pārkāpumiem.
Ievainojamība ir jaunākā, kas ietekmē korporatīvos tīklus, pēc tam, kad pagājušajā gadā tika atklātas ievainojamības Microsoft un datoru uzņēmuma SolarWinds vispārpieņemtajā programmatūrā. Tiek ziņots, ka abas ievainojamības sākotnēji izmantoja valsts atbalstītas spiegu grupas no attiecīgi Ķīnas un Krievijas.
Mandiant's Carmakal sacīja, ka Ķīnas valsts atbalstītie aktieri arī cenšas izmantot Log4J kļūdu, taču viņš atteicās sniegt sīkāku informāciju. SentinelOne pētnieki medijiem arī pastāstīja, ka ir novērojuši, kā Ķīnas hakeri izmanto ievainojamību.
CERT-FR iesaka veikt rūpīgu tīkla žurnālu analīzi. Šos iemeslus var izmantot, lai identificētu mēģinājumu izmantot šo ievainojamību, ja tā tiek izmantota vietrāžos URL vai noteiktās HTTP galvenēs kā lietotāja aģents
Ir ļoti ieteicams pēc iespējas ātrāk izmantot log2.15.0j versiju 4. Tomēr, ja rodas grūtības migrēt uz šo versiju, uz laiku var tikt piemēroti šādi risinājumi:
Lietojumprogrammām, kas izmanto log2.7.0j bibliotēkas 4 un jaunākas versijas, ir iespējams aizsargāt pret jebkādiem uzbrukumiem, mainot to notikumu formātu, kas tiks reģistrēti ar sintaksi% m {nolookups} datiem, ko lietotājs sniegtu. .
Gandrīz pusi no visiem uzbrukumiem ir veikuši zināmi kiberuzbrucēji, liecina Check Point. Tie ietvēra grupas, kas izmanto Cunami un Mirai, ļaunprātīgu programmatūru, kas pārvērš ierīces par robottīkliem, vai tīklus, kas tiek izmantoti attālināti kontrolētu uzbrukumu, piemēram, pakalpojumu atteikuma uzbrukumu, uzsākšanai. Tajā bija iekļautas arī grupas, kas izmanto XMRig — programmatūru, kas izmanto Monero digitālo valūtu.
"Izmantojot šo ievainojamību, uzbrucēji iegūst gandrīz neierobežotu spēku: viņi var iegūt konfidenciālus datus, augšupielādēt failus serverī, dzēst datus, instalēt izspiedējvīrusu programmatūru vai pārslēgties uz citiem serveriem," sacīja Nikolass Sciberass, Acunetix ievainojamības skenera galvenais inženieris. Viņš sacīja, ka bija "pārsteidzoši viegli" īstenot uzbrukumu, piebilstot, ka šis defekts tiks "izmantots nākamo dažu mēnešu laikā".