Ostatnio skomentowaliśmy awarię Log4J i w tej publikacji chcielibyśmy podzielić się informacjami, że naukowcyJak twierdzą, że hakerzy, w tym grupy wspierane przez państwo chińskie, ale także przez Rosję, przeprowadzili ponad 840.000 XNUMX ataków przeciwko firmom na całym świecie od zeszłego piątku dzięki tej luce.
Grupa ds. cyberbezpieczeństwa Check Point powiedział, że powiązane ataki z luką, którą przyspieszyli w ciągu 72 godzin od piątku, a czasami ich śledczy widzieli ponad 100 ataków na minutę.
Redaktor zauważył również dużą kreatywność w adaptacji ataku. Czasami w czasie krótszym niż 60 godziny pojawia się ponad 24 nowych odmian, wprowadzając nowe techniki zaciemniania lub kodowania.
Według Charlesa Carmakala, dyrektora ds. technologii w firmie cybernetycznej Mandiant, wymieniani są „napastnicy z chińskiego rządu”.
Luka Log4J umożliwia atakującym przejęcie zdalnej kontroli nad komputerami, na których działają aplikacje Java.
Jen Wschodnia, dyrektor Agencji Bezpieczeństwa Cybernetycznego i Infrastruktury Stanów Zjednoczonych (CISA), powiedział kierownictwo branżowe, które Podatność była „jedną z najpoważniejszych, jakie widziałem w całej mojej karierze, jeśli nie najpoważniejszą”, według amerykańskich mediów. Powiedział, że może to dotyczyć setek milionów urządzeń.
Firma Check Point powiedziała, że w wielu przypadkach hakerzy przejmują komputery i wykorzystują je do wydobywania kryptowalut lub dołączania do botnetów z rozległymi sieciami komputerowymi, które mogą być wykorzystywane do przytłaczania ruchu na stronach internetowych, wysyłania spamu lub do innych nielegalnych celów.
Dla firmy Kaspersky większość ataków pochodzi z Rosji.
CISA i brytyjskie Narodowe Centrum Bezpieczeństwa Cybernetycznego wydały ostrzeżenia wzywające organizacje do aktualizacji związanych z luką Log4J, ponieważ eksperci próbują ocenić konsekwencje.
Amazon, Apple, IBM, Microsoft i Cisco są jednymi z tych, którzy pospiesznie wprowadzają rozwiązania, ale żadne poważne naruszenia nie zostały zgłoszone publicznie do
Najnowsza luka dotyczy sieci korporacyjnych, po tym, jak w ciągu ostatniego roku pojawiły się luki w powszechnie używanym oprogramowaniu firmy Microsoft i firmy komputerowej SolarWinds. Obie luki zostały początkowo wykorzystane przez wspierane przez państwo grupy szpiegowskie, odpowiednio, z Chin i Rosji.
Carmakal z Mandiant powiedział, że chińscy aktorzy wspierani przez państwo również próbują wykorzystać błąd Log4J, ale odmówił podania dalszych szczegółów. Badacze SentinelOne powiedzieli również mediom, że zaobserwowali chińskich hakerów wykorzystujących lukę.
CERT-FR zaleca dokładną analizę logów sieciowych. Następujące powody mogą być wykorzystane do zidentyfikowania próby wykorzystania tej luki, gdy jest używana w adresach URL lub niektórych nagłówkach HTTP jako klient użytkownika
Zdecydowanie zaleca się jak najszybsze użycie log2.15.0j w wersji 4. Jednak w przypadku trudności z migracją do tej wersji można tymczasowo zastosować następujące rozwiązania:
W przypadku aplikacji korzystających z biblioteki log2.7.0j w wersji 4 i nowszych istnieje możliwość ochrony przed dowolnym atakiem poprzez modyfikację formatu zdarzeń, które będą rejestrowane ze składnią % m {nolookups} dla danych, które poda użytkownik.
Według firmy Check Point prawie połowa wszystkich ataków została przeprowadzona przez znanych cyberprzestępców. Należą do nich grupy, które wykorzystują Tsunami i Mirai, złośliwe oprogramowanie zmieniające urządzenia w botnety lub sieci wykorzystywane do przeprowadzania zdalnie sterowanych ataków, takich jak ataki typu „odmowa usługi”. Obejmował również grupy, które używają XMRig, oprogramowania wykorzystującego cyfrową walutę Monero.
„Dzięki tej luce napastnicy zyskują niemal nieograniczoną moc: mogą wydobywać poufne dane, przesyłać pliki na serwer, usuwać dane, instalować oprogramowanie ransomware lub przełączać się na inne serwery” — powiedział Nicholas Sciberras, dyrektor ds. inżynierii Acunetix ds. skanera luk w zabezpieczeniach. Powiedział, że „zaskakująco łatwo” było przeprowadzić atak, dodając, że usterka zostanie „wykorzystana w ciągu najbliższych kilku miesięcy”.