onlangs we hebben commentaar geleverd op het falen van Log4J en in deze publicatie willen we informatie delen die de OnderzoekersAls beweren dat hackers, waaronder groepen die worden ondersteund door de Chinese staat maar ook door Rusland, meer dan 840.000 aanvallen hebben uitgevoerd tegen bedrijven over de hele wereld sinds afgelopen vrijdag via deze kwetsbaarheid.
De cyberbeveiligingsgroep Check Point zei de gerelateerde aanvallen met de kwetsbaarheid die ze in de 72 uur sinds vrijdag hadden versneld, en soms zagen hun onderzoekers meer dan 100 aanvallen per minuut.
De redacteur constateerde ook grote creativiteit bij het aanpassen van de aanval. Soms verschijnen er meer dan 60 nieuwe variaties in minder dan 24 uur, waardoor nieuwe versluierings- of coderingstechnieken worden geïntroduceerd.
Volgens Charles Carmakal, chief technology officer van cyberbedrijf Mandiant, worden 'aanvallers van de Chinese overheid' genoemd.
De Log4J-fout stelt aanvallers in staat om op afstand computers met Java-applicaties te besturen.
Jen Easter, directeur van de United States Cyber and Infrastructure Security Agency (CISA), zei aan leidinggevenden in de sector die Kwetsbaarheid was "een van de ernstigste die ik in mijn hele carrière heb gezien, zo niet de meest ernstige", volgens de Amerikaanse media. Honderden miljoenen apparaten zullen waarschijnlijk worden getroffen, zei hij.
Check Point zei dat hackers in veel gevallen computers in beslag nemen en deze gebruiken om cryptocurrencies te minen of onderdeel te worden van botnets, met enorme computernetwerken die kunnen worden gebruikt om websiteverkeer te overweldigen, spam te verzenden of voor andere illegale doeleinden.
Voor Kaspersky komen de meeste aanvallen uit Rusland.
CISA en het Britse National Cyber Security Centre hebben organisaties gewaarschuwd om updates uit te voeren met betrekking tot de Log4J-kwetsbaarheid, terwijl experts proberen de gevolgen te beoordelen.
Amazon, Apple, IBM, Microsoft en Cisco behoren tot degenen die zich haasten om oplossingen uit te rollen, maar er zijn geen ernstige inbreuken publiekelijk gemeld totdat
De kwetsbaarheid is de laatste die van invloed is op bedrijfsnetwerken, nadat het afgelopen jaar kwetsbaarheden opdoken in veelgebruikte software van Microsoft en computerbedrijf SolarWinds. Beide kwetsbaarheden werden naar verluidt aanvankelijk uitgebuit door door de staat gesteunde spionagegroepen uit respectievelijk China en Rusland.
Mandiant's Carmakal zei dat Chinese door de staat gesteunde actoren ook proberen de Log4J-bug uit te buiten, maar hij weigerde verdere details te delen. Onderzoekers van SentinelOne vertelden de media ook dat ze Chinese hackers hadden gezien die misbruik maakten van de kwetsbaarheid.
CERT-FR beveelt een grondige analyse van de netwerklogboeken aan. De volgende redenen kunnen worden gebruikt om een poging om dit beveiligingslek te misbruiken te identificeren wanneer het wordt gebruikt in URL's of bepaalde HTTP-headers als user-agent
Het wordt sterk aanbevolen om log2.15.0j versie 4 zo snel mogelijk te gebruiken. In geval van problemen bij het migreren naar deze versie, kunnen de volgende oplossingen tijdelijk worden toegepast:
Voor toepassingen die versies 2.7.0 en hoger van de log4j-bibliotheek gebruiken, is het mogelijk om tegen elke aanval te beschermen door de indeling van de gebeurtenissen die worden geregistreerd te wijzigen met de syntaxis% m {nolookups} voor de gegevens die de gebruiker zou verstrekken .
Volgens Check Point is bijna de helft van alle aanvallen uitgevoerd door bekende cyberaanvallers. Deze omvatten groepen die Tsunami en Mirai gebruiken, malware die apparaten in botnets verandert of netwerken die worden gebruikt om op afstand bediende aanvallen uit te voeren, zoals denial-of-service-aanvallen. Het omvatte ook groepen die XMRig gebruiken, software die de digitale valuta van Monero exploiteert.
"Met deze kwetsbaarheid krijgen aanvallers bijna onbeperkte macht: ze kunnen vertrouwelijke gegevens extraheren, bestanden uploaden naar de server, gegevens verwijderen, ransomware installeren of overschakelen naar andere servers", zegt Nicholas Sciberras, chief engineering officer van Acunetix, kwetsbaarheidsscanner. Het was "verrassend eenvoudig" om een aanval uit te voeren, zei hij, eraan toevoegend dat de fout "in de komende maanden zou worden uitgebuit".