Nedávno sme komentovali zlyhanie Log4J a v tejto publikácii by sme sa chceli podeliť o informáciu, že vedcipretože tvrdia, že hackeri, vrátane skupín podporovaných čínskym štátom, ale aj Ruskom, spustili viac ako 840.000 XNUMX útokov voči spoločnostiam na celom svete od minulého piatku prostredníctvom tejto zraniteľnosti.
Skupina pre kybernetickú bezpečnosť Check Point uviedol súvisiace útoky so zraniteľnosťou, ktorú zrýchlili za 72 hodín od piatku, a niekedy ich vyšetrovatelia videli viac ako 100 útokov za minútu.
Redaktor tiež zaznamenal veľkú kreativitu pri prispôsobovaní útoku. Niekedy sa za menej ako 60 hodín objaví viac ako 24 nových variácií, ktoré zavádzajú nové techniky zahmlievania alebo kódovania.
Podľa Charlesa Carmakala, technologického riaditeľa kybernetickej spoločnosti Mandiant, sú medzi nimi aj „útočníci z čínskej vlády“.
Chyba Log4J umožňuje útočníkom prevziať vzdialenú kontrolu nad počítačmi s aplikáciami Java.
Jen na východ, riaditeľ Agentúry pre kybernetickú a infraštruktúrnu bezpečnosť Spojených štátov (CISA), dijo vedúcim pracovníkom v tomto odvetví Zraniteľnosť bola „jedna z najzávažnejších, aké som za celú svoju kariéru videl, ak nie najvážnejšia“, podľa amerických médií. Podľa neho budú pravdepodobne ovplyvnené stovky miliónov zariadení.
Check Point uviedol, že v mnohých prípadoch hackeri prevezmú počítače a použijú ich na ťažbu kryptomien alebo sa stanú súčasťou botnetov s rozsiahlymi počítačovými sieťami, ktoré môžu byť použité na zahltenie návštevnosti webových stránok, rozosielanie spamu alebo na iné nezákonné účely.
Podľa spoločnosti Kaspersky väčšina útokov pochádza z Ruska.
CISA a Národné centrum kybernetickej bezpečnosti Spojeného kráľovstva vydali výstrahy, v ktorých vyzývajú organizácie, aby vykonali aktualizácie súvisiace so zraniteľnosťou Log4J, keďže sa odborníci snažia posúdiť dôsledky.
Amazon, Apple, IBM, Microsoft a Cisco patria medzi tých, ktorí sa ponáhľajú s uvedením riešení, ale žiadne vážne porušenia neboli verejne hlásené, kým
Zraniteľnosť je posledná, ktorá ovplyvňuje podnikové sietepo tom, čo sa za posledný rok objavili zraniteľné miesta v bežne používanom softvéri od spoločnosti Microsoft a počítačovej spoločnosti SolarWinds. Obe zraniteľnosti údajne pôvodne využívali štátom podporované špionážne skupiny z Číny a Ruska.
Mandiant's Carmakal uviedol, že čínski štátom podporovaní aktéri sa tiež pokúšajú využiť chybu Log4J, ale odmietol poskytnúť ďalšie podrobnosti. Výskumníci SentinelOne tiež médiám povedali, že pozorovali čínskych hackerov, ktorí túto zraniteľnosť využívali.
CERT-FR odporúča dôkladnú analýzu sieťových protokolov. Nasledujúce dôvody možno použiť na identifikáciu pokusu o zneužitie tejto zraniteľnosti pri použití v adresách URL alebo určitých hlavičkách HTTP ako používateľský agent
Dôrazne sa odporúča používať log2.15.0j verziu 4 čo najskôr. V prípade ťažkostí s prechodom na túto verziu však možno dočasne použiť nasledujúce riešenia:
Pre aplikácie používajúce knižnicu log2.7.0j verzie 4 a novšie je možné chrániť sa pred akýmkoľvek útokom úpravou formátu udalostí, ktoré sa budú zaznamenávať, so syntaxou % m {nolookups} pre údaje, ktoré poskytne používateľ.
Takmer polovicu všetkých útokov vykonali známi kybernetickí útočníci, uvádza Check Point. Patrili sem skupiny, ktoré používajú Tsunami a Mirai, malvér, ktorý premieňa zariadenia na botnety, alebo siete, ktoré sa používajú na spúšťanie diaľkovo riadených útokov, ako sú útoky odmietnutia služby. Zahŕňalo aj skupiny, ktoré používajú XMRig, softvér využívajúci digitálnu menu Monero.
„Vďaka tejto zraniteľnosti získajú útočníci takmer neobmedzenú moc: môžu extrahovať dôverné dáta, nahrávať súbory na server, mazať dáta, inštalovať ransomvér alebo prepínať na iné servery,“ povedal Nicholas Sciberras, hlavný inžinier Acunetix, skener zraniteľnosti. Uskutočniť útok bolo "prekvapivo ľahké", povedal a dodal, že chyba sa "využije v najbližších mesiacoch".