nylig vi kommenterte feilen til Log4J og i denne publikasjonen ønsker vi å dele informasjon som forskere, siden hevder at hackere, inkludert grupper støttet av den kinesiske staten, men også av Russland, har satt i gang mer enn 840.000 XNUMX angrep mot selskaper over hele verden siden sist fredag gjennom denne sårbarheten.
Nettsikkerhetsgruppen Check Point sa de relaterte angrepene med sårbarheten de hadde akselerert i løpet av de 72 timene siden fredag, og til tider så etterforskerne deres mer enn 100 angrep per minutt.
Redaktøren la også merke til stor kreativitet i å tilpasse angrepet. Noen ganger dukker det opp mer enn 60 nye variasjoner på mindre enn 24 timer, og introduserer nye tilslørings- eller kodingsteknikker.
«Angripere fra kinesiske myndigheter» er nevnt som inkludert, ifølge Charles Carmakal, teknologisjef for cyberselskapet Mandiant.
Log4J-feilen lar angripere ta fjernkontroll av datamaskiner som kjører Java-applikasjoner.
Jen påske, direktør for United States Cyber and Infrastructure Security Agency (CISA), sa til industriledere det Sårbarhet var "en av de mest alvorlige jeg har sett i hele min karriere, om ikke den mest alvorlige", ifølge amerikanske medier. Hundrevis av millioner enheter vil sannsynligvis bli påvirket, sa han.
Check Point sa at i mange tilfeller overtar hackere datamaskiner og bruker dem til å utvinne kryptovalutaer eller bli en del av botnett, med enorme datanettverk som kan brukes til å overvelde nettstedtrafikk, sende spam eller til andre ulovlige formål.
For Kaspersky kommer de fleste angrepene fra Russland.
CISA og Storbritannias National Cyber Security Center har sendt ut varsler som oppfordrer organisasjoner til å gjøre oppdateringer relatert til Log4J-sårbarheten, mens eksperter prøver å vurdere konsekvensene.
Amazon, Apple, IBM, Microsoft og Cisco er blant dem som skynder seg å rulle ut løsninger, men ingen alvorlige brudd har blitt rapportert offentlig før
Sårbarheten er den siste som påvirker bedriftsnettverk, etter at sårbarheter dukket opp det siste året i vanlig programvare fra Microsoft og dataselskapet SolarWinds. Begge sårbarhetene ble angivelig i utgangspunktet utnyttet av statsstøttede spiongrupper fra henholdsvis Kina og Russland.
Mandiant's Carmakal sa at kinesiske statsstøttede skuespillere også prøver å utnytte Log4J-feilen, men han nektet å dele ytterligere detaljer. SentinelOne-forskere fortalte også til media at de hadde observert kinesiske hackere som utnyttet sårbarheten.
CERT-FR anbefaler en grundig analyse av nettverksloggene. Følgende årsaker kan brukes til å identifisere et forsøk på å utnytte dette sikkerhetsproblemet når det brukes i URL-er eller visse HTTP-overskrifter som brukeragent
Det anbefales sterkt å bruke log2.15.0j versjon 4 så snart som mulig. Men i tilfelle problemer med å migrere til denne versjonen, kan følgende løsninger brukes midlertidig:
For applikasjoner som bruker versjon 2.7.0 og nyere av log4j-biblioteket, er det mulig å beskytte mot ethvert angrep ved å endre formatet på hendelsene som skal logges med syntaksen % m {nolookups} for dataene som brukeren vil oppgi .
Nesten halvparten av alle angrep har blitt utført av kjente cyberangripere, ifølge Check Point. Disse inkluderer grupper som bruker Tsunami og Mirai, skadelig programvare som gjør enheter til botnett, eller nettverk som brukes til å starte fjernstyrte angrep, for eksempel tjenestenektangrep. Det inkluderte også grupper som bruker XMRig, programvare som utnytter den digitale valutaen Monero.
"Med denne sårbarheten får angripere nesten ubegrenset makt: de kan trekke ut konfidensielle data, laste opp filer til serveren, slette data, installere løsepengeprogramvare eller bytte til andre servere," sa Nicholas Sciberras, sjefingeniør for Acunetix, sårbarhetsskanner. Det var "overraskende enkelt" å gjennomføre et angrep, sa han, og la til at feilen ville bli "utnyttet i løpet av de neste månedene."