เมื่อเร็ว ๆ นี้ เราแสดงความคิดเห็นเกี่ยวกับความล้มเหลวของ Log4J และในเอกสารนี้เราต้องการแบ่งปันข้อมูลที่ นักวิจัยเพราะ อ้างว่าแฮ็กเกอร์ รวมถึงกลุ่มที่ได้รับการสนับสนุนจากรัฐจีนและรัสเซียด้วย ได้เปิดตัวการโจมตีมากกว่า 840.000 ครั้ง กับบริษัททั่วโลกตั้งแต่วันศุกร์ที่ผ่านมาผ่านช่องโหว่นี้
กลุ่มความปลอดภัยทางไซเบอร์ ด่านตรวจกล่าวว่าการโจมตีที่เกี่ยวข้อง ด้วยช่องโหว่ที่พวกเขาเร่งขึ้นใน 72 ชั่วโมงตั้งแต่วันศุกร์ และบางครั้งผู้ตรวจสอบพบการโจมตีมากกว่า 100 ครั้งต่อนาที
บรรณาธิการยังสังเกตเห็นความคิดสร้างสรรค์ที่ยอดเยี่ยมในการปรับการโจมตี บางครั้งมีรูปแบบใหม่มากกว่า 60 รูปแบบปรากฏขึ้นในเวลาน้อยกว่า 24 ชั่วโมง ซึ่งเป็นการแนะนำเทคนิคการสร้างความสับสนหรือการเข้ารหัสแบบใหม่
"ผู้โจมตีของรัฐบาลจีน" ถูกกล่าวถึงว่ารวมอยู่ด้วย ตามที่ Charles Carmakal หัวหน้าเจ้าหน้าที่เทคโนโลยีของบริษัท Mandiant บริษัทไซเบอร์กล่าว
ข้อบกพร่องของ Log4J ช่วยให้ผู้โจมตีสามารถควบคุมคอมพิวเตอร์ที่ใช้แอปพลิเคชัน Java ได้จากระยะไกล
เจน อีสเตอร์ลี่, ผู้อำนวยการสำนักงานความมั่นคงไซเบอร์และโครงสร้างพื้นฐานของสหรัฐอเมริกา (CISA) dijo ให้กับผู้บริหารอุตสาหกรรมที่ ช่องโหว่คือ "สิ่งหนึ่งที่ร้ายแรงที่สุดที่ฉันเคยเห็นมาในอาชีพการงาน ถ้าไม่ร้ายแรงที่สุด" ตามสื่ออเมริกัน อุปกรณ์หลายร้อยล้านเครื่องมีแนวโน้มที่จะได้รับผลกระทบ เขากล่าว
Check Point กล่าวว่าในหลายกรณี แฮกเกอร์เข้าควบคุมคอมพิวเตอร์และใช้เพื่อขุด cryptocurrencies หรือกลายเป็นส่วนหนึ่งของ botnets ด้วยเครือข่ายคอมพิวเตอร์ขนาดใหญ่ที่สามารถใช้เพื่อครอบงำการเข้าชมเว็บไซต์ ส่งสแปม หรือเพื่อวัตถุประสงค์อื่น ๆ ที่ผิดกฎหมาย
สำหรับ Kaspersky การโจมตีส่วนใหญ่มาจากรัสเซีย.
CISA และศูนย์ความปลอดภัยทางไซเบอร์แห่งชาติของสหราชอาณาจักรได้ออกคำเตือนเพื่อกระตุ้นให้องค์กรทำการอัปเดตที่เกี่ยวข้องกับช่องโหว่ของ Log4J เนื่องจากผู้เชี่ยวชาญพยายามประเมินผลที่ตามมา
Amazon, Apple, IBM, Microsoft และ Cisco เป็นหนึ่งในกลุ่มที่รีบเปิดตัวโซลูชัน แต่ไม่มีการรายงานการละเมิดที่ร้ายแรงต่อสาธารณะจนกระทั่ง
ช่องโหว่ล่าสุดที่ส่งผลกระทบต่อเครือข่ายองค์กรหลังจากมีช่องโหว่ในซอฟต์แวร์ที่ใช้งานร่วมกันจาก Microsoft และบริษัทคอมพิวเตอร์ SolarWinds ในปีที่ผ่านมา มีรายงานว่าช่องโหว่ทั้งสองถูกโจมตีโดยกลุ่มสายลับที่ได้รับการสนับสนุนจากรัฐจากประเทศจีนและรัสเซียตามลำดับ
Carmakal ของ Mandiant กล่าวว่านักแสดงที่ได้รับการสนับสนุนจากรัฐของจีนกำลังพยายามใช้ประโยชน์จากจุดบกพร่องของ Log4J แต่เขาปฏิเสธที่จะให้รายละเอียดเพิ่มเติม นักวิจัยของ SentinelOne ยังบอกกับสื่อว่าพวกเขาสังเกตเห็นแฮ็กเกอร์ชาวจีนใช้ประโยชน์จากช่องโหว่นี้
CERT-FR แนะนำให้วิเคราะห์บันทึกเครือข่ายอย่างละเอียด. เหตุผลต่อไปนี้สามารถใช้เพื่อระบุความพยายามที่จะใช้ประโยชน์จากช่องโหว่นี้เมื่อใช้ใน URL หรือส่วนหัว HTTP บางอย่างในฐานะตัวแทนผู้ใช้
ขอแนะนำอย่างยิ่งให้ใช้ log2.15.0j เวอร์ชัน 4 โดยเร็วที่สุด อย่างไรก็ตาม ในกรณีที่มีปัญหาในการโยกย้ายไปยังเวอร์ชันนี้ คุณสามารถใช้วิธีแก้ปัญหาต่อไปนี้ชั่วคราว:
สำหรับแอปพลิเคชันที่ใช้เวอร์ชัน 2.7.0 และใหม่กว่าของไลบรารี log4j เป็นไปได้ที่จะป้องกันการโจมตีใด ๆ โดยการปรับเปลี่ยนรูปแบบของเหตุการณ์ที่จะบันทึกด้วยไวยากรณ์% m {nolookups} สำหรับข้อมูลที่ผู้ใช้จะจัดหา .
เกือบครึ่งหนึ่งของการโจมตีทั้งหมดดำเนินการโดยผู้โจมตีทางไซเบอร์ที่รู้จัก ตามจุดตรวจสอบ ซึ่งรวมถึงกลุ่มที่ใช้สึนามิและมิไร มัลแวร์ที่เปลี่ยนอุปกรณ์เป็นบ็อตเน็ต หรือเครือข่ายที่ใช้ในการเปิดการโจมตีที่ควบคุมจากระยะไกล เช่น การปฏิเสธการโจมตีบริการ นอกจากนี้ยังรวมกลุ่มที่ใช้ XMRig ซึ่งเป็นซอฟต์แวร์ที่ใช้ประโยชน์จากสกุลเงินดิจิทัลของ Monero
Nicholas Sciberras หัวหน้าฝ่ายวิศวกรรมของ Acunetix ด้าน vulnerability scanner กล่าวว่า "ด้วยช่องโหว่นี้ ผู้โจมตีจะได้รับพลังเกือบไม่จำกัด: พวกเขาสามารถดึงข้อมูลที่เป็นความลับ อัปโหลดไฟล์ไปยังเซิร์ฟเวอร์ ลบข้อมูล ติดตั้งแรนซัมแวร์หรือเปลี่ยนไปใช้เซิร์ฟเวอร์อื่น" เขากล่าวว่า "ง่ายอย่างน่าประหลาดใจ" ในการโจมตี พร้อมเสริมว่าข้อบกพร่องจะ "ใช้ประโยชน์ได้ในอีกไม่กี่เดือนข้างหน้า"