Недавно мы прокомментировали провал Log4J и в этой публикации мы хотели бы поделиться информацией о том, что исследователиКак утверждают, что хакеры, в том числе группы, поддерживаемые китайским государством, но также и Россией, осуществили более 840.000 XNUMX атак. против компаний по всему миру с прошлой пятницы через эту уязвимость.
Группа кибербезопасности Check Point заявила о связанных атаках с уязвимостью они ускорились за 72 часа с пятницы, и иногда их исследователи наблюдали более 100 атак в минуту.
Редактор также отметил большую изобретательность в адаптации атаки. Иногда менее чем за 60 часа появляется более 24 новых вариаций, вводящих новые методы запутывания или кодирования.
По словам Чарльза Кармакала, технического директора кибернетической компании Mandiant, упоминаются «злоумышленники китайского правительства».
Уязвимость Log4J позволяет злоумышленникам получить удаленный контроль над компьютерами, на которых запущены приложения Java.
Джен Истерли, директор Агентства кибербезопасности и инфраструктуры США (CISA), сказал руководителям отрасли, которые Уязвимость была «одной из самых серьезных, которые я видел за всю свою карьеру, если не самой серьезной», по данным американских СМИ. По его словам, могут быть затронуты сотни миллионов устройств.
Check Point заявила, что во многих случаях хакеры захватывают компьютеры и используют их для добычи криптовалют или становятся частью ботнетов с обширными компьютерными сетями, которые могут использоваться для подавления трафика веб-сайтов, рассылки спама или для других незаконных целей.
По мнению Касперского, большинство атак происходит из России..
CISA и Национальный центр кибербезопасности Великобритании выпустили предупреждения, призывающие организации обновлять уязвимость Log4J, поскольку эксперты пытаются оценить последствия.
Amazon, Apple, IBM, Microsoft и Cisco входят в число тех, кто спешит внедрить решения, но ни о каких серьезных нарушениях не сообщалось до тех пор, пока
Уязвимость является последней, которая затрагивает корпоративные сети., после того, как за последний год были обнаружены уязвимости в программном обеспечении общего пользования от Microsoft и компьютерной компании SolarWinds. Обе уязвимости изначально использовались поддерживаемыми государством шпионскими группами из Китая и России соответственно.
Кармакал из Mandiant сказал, что поддерживаемые государством субъекты Китая также пытаются использовать ошибку Log4J, но отказался сообщить подробности. Исследователи SentinelOne также сообщили СМИ, что они наблюдали, как китайские хакеры использовали эту уязвимость.
Cert-Fr рекомендует тщательный анализ сетевых журналов. Следующие причины могут быть использованы для идентификации попытки использования этой уязвимости при использовании в URL-адресах или определенных заголовках HTTP в качестве агента пользователя.
Настоятельно рекомендуется как можно скорее использовать log2.15.0j версии 4. Однако в случае возникновения трудностей с переходом на эту версию можно временно применить следующие решения:
Для приложений, которые используют версию 2.7.0 и более поздних версий библиотеки log4j, можно защитить от любых атак, изменив формат событий, которые будут регистрироваться, с синтаксисом% m {nolookups} для данных, которые может предоставить пользователь. .
По данным Check Point, почти половина всех атак была проведена известными кибератаками. К ним относятся группы, использующие Tsunami и Mirai, вредоносное ПО, которое превращает устройства в бот-сети, или сети, которые используются для запуска удаленно управляемых атак, таких как атаки типа «отказ в обслуживании». В него также вошли группы, использующие XMRig, программное обеспечение, использующее цифровую валюту Monero.
«Благодаря этой уязвимости злоумышленники получают практически неограниченные возможности: они могут извлекать конфиденциальные данные, загружать файлы на сервер, удалять данные, устанавливать программы-вымогатели или переключаться на другие серверы», - сказал Николас Скиберрас, технический директор Acunetix, занимающийся сканером уязвимостей. По его словам, «на удивление легко» осуществить атаку, добавив, что уязвимость будет «использована в ближайшие несколько месяцев».