recent am comentat eșecul Log4J și în această publicație am dori să împărtășim informații pe care cercetătoriCa susțin că hackerii, inclusiv grupuri susținute de statul chinez, dar și de Rusia, au lansat peste 840.000 de atacuri împotriva companiilor din întreaga lume de vinerea trecută prin această vulnerabilitate.
Grupul de securitate cibernetică Check Point a spus atacurile aferente cu vulnerabilitatea pe care o acceleraseră în cele 72 de ore de vineri, iar uneori anchetatorii lor vedeau mai mult de 100 de atacuri pe minut.
Editorul a remarcat și o mare creativitate în adaptarea atacului. Uneori, mai mult de 60 de noi variații apar în mai puțin de 24 de ore, introducând noi tehnici de ofuscare sau codare.
„Atacatorii guvernului chinez” sunt menționați ca fiind incluși, potrivit lui Charles Carmakal, director de tehnologie pentru compania cibernetică Mandiant.
Defectul Log4J permite atacatorilor să preia controlul de la distanță asupra computerelor care rulează aplicații Java.
Jen spre est, director al Agenției de Securitate Cibernetică și a Infrastructurii din Statele Unite (CISA), el a spus la directorii din industrie care Vulnerabilitatea a fost „una dintre cele mai grave pe care le-am văzut în toată cariera mea, dacă nu cea mai serioasă”, conform presei americane. Sute de milioane de dispozitive ar putea fi afectate, a spus el.
Check Point a spus că, în multe cazuri, hackerii preiau computere și le folosesc pentru a extrage criptomonede sau pentru a deveni parte a rețelelor botnet, cu vaste rețele de calculatoare care pot fi folosite pentru a copleși traficul site-ului web, a trimite spam sau în alte scopuri ilegale.
Pentru Kaspersky, majoritatea atacurilor vin din Rusia.
CISA și Centrul Național de Securitate Cibernetică din Marea Britanie au emis alerte îndemnând organizațiile să facă actualizări legate de vulnerabilitatea Log4J, în timp ce experții încearcă să evalueze consecințele.
Amazon, Apple, IBM, Microsoft și Cisco se numără printre cei care se grăbesc să lanseze soluții, dar nu au fost raportate public încălcări grave până
Vulnerabilitatea este cea mai recentă care afectează rețelele corporative, după ce vulnerabilități au apărut în ultimul an în software-ul de uz comun de la Microsoft și compania de calculatoare SolarWinds. Ambele vulnerabilități au fost exploatate inițial de grupuri de spionaj susținute de stat din China și, respectiv, Rusia.
Carmakal de la Mandiant a spus că actorii chinezi susținuți de stat încearcă și ei să exploateze bug-ul Log4J, dar el a refuzat să dezvăluie mai multe detalii. Cercetătorii SentinelOne au mai spus presei că au observat hackeri chinezi care profitau de vulnerabilitate.
CERT-FR recomandă o analiză amănunțită a jurnalelor de rețea. Următoarele motive pot fi folosite pentru a identifica o încercare de exploatare a acestei vulnerabilități atunci când sunt utilizate în URL-uri sau anumite antete HTTP ca agent de utilizator
Este recomandat să utilizați log2.15.0j versiunea 4 cât mai curând posibil. Cu toate acestea, în cazul dificultăților de migrare la această versiune, pot fi aplicate temporar următoarele soluții:
Pentru aplicațiile care utilizează versiunile 2.7.0 și ulterioare ale bibliotecii log4j, este posibil să se protejeze împotriva oricărui atac prin modificarea formatului evenimentelor care vor fi înregistrate cu sintaxa% m {nolookups} pentru datele pe care utilizatorul le-ar furniza .
Aproape jumătate din toate atacurile au fost efectuate de atacatori cibernetici cunoscuți, potrivit Check Point. Acestea au inclus grupuri care folosesc Tsunami și Mirai, malware care transformă dispozitivele în rețele bot sau rețele care sunt folosite pentru a lansa atacuri controlate de la distanță, cum ar fi atacurile de denial of service. A inclus și grupuri care folosesc XMRig, software care exploatează moneda digitală Monero.
„Cu această vulnerabilitate, atacatorii câștigă putere aproape nelimitată: pot extrage date confidențiale, pot încărca fișiere pe server, pot șterge date, pot instala ransomware sau pot trece la alte servere”, a declarat Nicholas Sciberras, director de inginerie Acunetix, scanner de vulnerabilități. A fost „surprinzător de ușor” să implementezi un atac, a spus el, adăugând că defectul va fi „exploatat în următoarele câteva luni”.