Faz pouco comentamos sobre a falha do Log4J e nesta publicação, gostaríamos de compartilhar informações de que o PesquisadoresComo afirmam que hackers, incluindo grupos apoiados pelo estado chinês, mas também pela Rússia, lançaram mais de 840.000 ataques contra empresas em todo o mundo desde a última sexta-feira por meio desta vulnerabilidade.
O grupo de cibersegurança Check Point disse que os ataques relacionados com a vulnerabilidade, eles aceleraram nas 72 horas desde sexta-feira, e às vezes seus investigadores estavam vendo mais de 100 ataques por minuto.
O editor também notou grande criatividade na adaptação do ataque. Às vezes, mais de 60 novas variações aparecem em menos de 24 horas, introduzindo novas técnicas de ofuscação ou codificação.
"Atacantes do governo chinês" são mencionados como incluídos, de acordo com Charles Carmakal, diretor de tecnologia da empresa cibernética Mandiant.
A falha do Log4J permite que invasores assumam o controle remoto de computadores que executam aplicativos Java.
Jen para o leste, diretor da Agência de Segurança Cibernética e de Infraestrutura dos Estados Unidos (CISA), dito para executivos da indústria que A vulnerabilidade foi "uma das mais sérias que já vi em toda a minha carreira, senão a mais séria", de acordo com a mídia americana. Centenas de milhões de dispositivos provavelmente serão afetados, disse ele.
A Check Point disse que, em muitos casos, os hackers assumem o controle de computadores e os usam para minerar criptomoedas ou se tornar parte de botnets, com vastas redes de computadores que podem ser usadas para sobrecarregar o tráfego do site, enviar spam ou para outros fins ilegais.
Para Kaspersky, a maioria dos ataques vem da Rússia.
A CISA e o Centro Nacional de Segurança Cibernética do Reino Unido emitiram alertas pedindo às organizações que façam atualizações relacionadas à vulnerabilidade Log4J, enquanto especialistas tentam avaliar as consequências.
Amazon, Apple, IBM, Microsoft e Cisco estão entre aqueles que se apressam em implantar soluções, mas nenhuma violação séria foi relatada publicamente até
A vulnerabilidade é a mais recente a afetar redes corporativas, após o surgimento de vulnerabilidades no ano passado em softwares de uso comum da Microsoft e da empresa de informática SolarWinds. Ambas as vulnerabilidades foram inicialmente exploradas por grupos de espionagem apoiados pelo estado da China e da Rússia, respectivamente.
Carmakal, da Mandiant, disse que atores apoiados pelo Estado chinês também estão tentando explorar o bug Log4J, mas se recusou a fornecer mais detalhes. Os pesquisadores do SentinelOne também disseram à mídia que observaram hackers chineses se aproveitando da vulnerabilidade.
CERT-FR recomenda uma análise completa dos registros da rede. Os seguintes motivos podem ser usados para identificar uma tentativa de explorar esta vulnerabilidade quando usado em URLs ou certos cabeçalhos HTTP como agente de usuário
É altamente recomendável usar o log2.15.0j versão 4 o mais rápido possível. No entanto, em caso de dificuldades na migração para esta versão, as seguintes soluções podem ser aplicadas temporariamente:
Para aplicativos que usam as versões 2.7.0 e posteriores da biblioteca log4j, é possível se proteger contra qualquer ataque modificando o formato dos eventos que serão registrados com a sintaxe% m {nolookups} para os dados que o usuário forneceria .
Quase metade de todos os ataques foram realizados por atacantes cibernéticos conhecidos, de acordo com a Check Point. Isso inclui grupos que usam Tsunami e Mirai, malware que transforma dispositivos em botnets ou redes que são usadas para lançar ataques controlados remotamente, como ataques de negação de serviço. Também incluiu grupos que usam XMRig, software que explora a moeda digital Monero.
"Com esta vulnerabilidade, os invasores ganham poder quase ilimitado: eles podem extrair dados confidenciais, fazer upload de arquivos para o servidor, excluir dados, instalar ransomware ou mudar para outros servidores", disse Nicholas Sciberras, diretor de engenharia da Acunetix, scanner de vulnerabilidade. Foi "surpreendentemente fácil" implementar um ataque, disse ele, acrescentando que a falha seria "explorada nos próximos meses".