nyligen vi kommenterade misslyckandet med Log4J och i denna publikation vill vi dela information om att forskare, sedan hävdar att hackare, inklusive grupper som stöds av den kinesiska staten men också av Ryssland, har inlett mer än 840.000 XNUMX attacker mot företag runt om i världen sedan i fredags genom denna sårbarhet.
Cybersäkerhetsgruppen Check Point sa de relaterade attackerna med den sårbarhet som de hade accelererat under de 72 timmarna sedan fredagen, och ibland såg deras utredare mer än 100 attacker per minut.
Redaktören noterade också stor kreativitet i att anpassa attacken. Ibland dyker mer än 60 nya varianter upp på mindre än 24 timmar, vilket introducerar nya obfuskerings- eller kodningstekniker.
"Kinesiska regeringsangripare" nämns som inkluderade, enligt Charles Carmakal, teknikchef för cyberföretaget Mandiant.
Log4J-felet tillåter angripare att ta fjärrkontroll över datorer som kör Java-applikationer.
Jen påsk, chef för United States Cyber and Infrastructure Security Agency (CISA), sade till branschchefer det Sårbarhet var "en av de allvarligaste jag har sett i hela min karriär, om inte den allvarligaste." enligt amerikanska medier. Hundratals miljoner enheter kommer sannolikt att påverkas, sa han.
Check Point sa att hackare i många fall tar över datorer och använder dem för att bryta kryptovalutor eller bli en del av botnät, med stora datornätverk som kan användas för att överväldiga webbplatstrafik, skicka spam eller för andra olagliga ändamål.
För Kasperskys del kommer de flesta attackerna från Ryssland.
CISA och Storbritanniens National Cyber Security Center har utfärdat varningar och uppmanar organisationer att göra uppdateringar relaterade till Log4J-sårbarheten, eftersom experter försöker bedöma konsekvenserna.
Amazon, Apple, IBM, Microsoft och Cisco är bland dem som skyndar sig att lansera lösningar, men inga allvarliga intrång har rapporterats offentligt förrän
Sårbarheten är den senaste som påverkar företagsnätverk, efter att sårbarheter dykt upp under det senaste året i vanlig programvara från Microsoft och datorföretaget SolarWinds. Båda sårbarheterna har enligt uppgift initialt utnyttjats av statsstödda spiongrupper från Kina respektive Ryssland.
Mandiant's Carmakal sa att kinesiska statsstödda skådespelare också försöker utnyttja Log4J-felet, men han avböjde att dela med sig av ytterligare detaljer. SentinelOne-forskare berättade också för media att de hade observerat kinesiska hackare som utnyttjade sårbarheten.
CERT-FR rekommenderar en grundlig analys av nätverksloggarna. Följande skäl kan användas för att identifiera ett försök att utnyttja denna sårbarhet när det används i URL:er eller vissa HTTP-rubriker som användaragent
Det rekommenderas starkt att använda log2.15.0j version 4 så snart som möjligt. Men i händelse av svårigheter att migrera till den här versionen kan följande lösningar tillfälligt tillämpas:
För applikationer som använder version 2.7.0 och senare av log4j-biblioteket är det möjligt att skydda mot alla attacker genom att ändra formatet för händelserna som kommer att loggas med syntaxen% m {nolookups} för de data som användaren skulle tillhandahålla .
Nästan hälften av alla attacker har utförts av kända cyberangripare, enligt Check Point. Dessa inkluderade grupper som använder Tsunami och Mirai, skadlig programvara som förvandlar enheter till botnät, eller nätverk som används för att starta fjärrstyrda attacker, såsom överbelastningsattacker. Det inkluderade också grupper som använder XMRig, programvara som utnyttjar den digitala valutan Monero.
"Med denna sårbarhet får angripare nästan obegränsad makt: de kan extrahera konfidentiell data, ladda upp filer till servern, radera data, installera ransomware eller byta till andra servrar", säger Nicholas Sciberras, Acunetix chief engineer, vulnerability scanner. Det var "förvånansvärt enkelt" att genomföra en attack, sa han och tillade att bristen skulle "utnyttjas under de närmaste månaderna."