Kamakailan lamang nagkomento kami sa kabiguan ng Log4J at sa publikasyong ito nais naming ibahagi ang impormasyon na ang mga mananaliksikBilang inaangkin na ang mga hacker, kabilang ang mga grupong suportado ng estado ng China ngunit gayundin ng Russia, ay naglunsad ng higit sa 840.000 pag-atake laban sa mga kumpanya sa buong mundo mula noong nakaraang Biyernes sa pamamagitan ng kahinaang ito.
Ang pangkat ng cybersecurity Sinabi ng Check Point ang mga kaugnay na pag-atake na may kahinaan ay bumilis sa loob ng 72 oras mula noong Biyernes, at kung minsan ang mga investigator nito ay nakakakita ng higit sa 100 pag-atake kada minuto.
Napansin din ng editor ang mahusay na pagkamalikhain sa pag-angkop sa pag-atake. Minsan higit sa 60 bagong variation ang lumalabas sa loob ng wala pang 24 na oras, na nagpapakilala ng mga bagong obfuscation o coding techniques.
Ang "mga umaatake sa gobyerno ng China" ay binanggit bilang kasama, ayon kay Charles Carmakal, punong opisyal ng teknolohiya para sa cyber company na Mandiant.
Ang Log4J flaw ay nagpapahintulot sa mga umaatake na kumuha ng malayuang kontrol ng mga computer na nagpapatakbo ng mga Java application.
Jen easterly, direktor ng United States Cyber and Infrastructure Security Agency (CISA), dijo sa mga executive ng industriya na Ang kahinaan ay "isa sa mga pinakaseryosong nakita ko sa buong karera ko, kung hindi man ang pinakaseryoso," ayon sa American media. Daan-daang milyong device ang malamang na maapektuhan, aniya.
Sinabi ng Check Point na sa maraming pagkakataon, kinukuha ng mga hacker ang mga computer at ginagamit ang mga ito para minahan ng mga cryptocurrencies o maging bahagi ng mga botnet, na may malalawak na network ng computer na maaaring magamit upang madaig ang trapiko sa website, magpadala ng spam, o para sa iba. mga ilegal na layunin.
Para sa Kaspersky, karamihan sa mga pag-atake ay nagmula sa Russia.
Ang CISA at ang National Cyber Security Center ng UK ay naglabas ng mga alerto na humihimok sa mga organisasyon na gumawa ng mga update na nauugnay sa kahinaan ng Log4J, habang sinusubukan ng mga eksperto na tasahin ang mga kahihinatnan.
Ang Amazon, Apple, IBM, Microsoft, at Cisco ay kabilang sa mga nagmamadaling maglunsad ng mga solusyon, ngunit walang malubhang paglabag ang naiulat sa publiko hanggang
Ang kahinaan ay ang pinakabagong nakakaapekto sa mga corporate network, pagkatapos lumitaw ang mga kahinaan sa nakaraang taon sa karaniwang ginagamit na software mula sa Microsoft at kumpanya ng kompyuter na SolarWinds. Ang parehong mga kahinaan ay iniulat na una nang pinagsamantalahan ng mga grupo ng espiya na suportado ng estado mula sa China at Russia, ayon sa pagkakabanggit.
Sinabi ng Mandiant's Carmakal na sinusubukan din ng Chinese state-backed actors na pagsamantalahan ang Log4J bug, ngunit tumanggi siyang magbahagi ng karagdagang mga detalye. Sinabi rin ng mga mananaliksik ng SentinelOne sa media na naobserbahan nila ang mga hacker na Tsino na sinasamantala ang kahinaan.
CERT-FR nagrerekomenda ng masusing pagsusuri ng mga log ng network. Ang mga sumusunod na dahilan ay maaaring gamitin upang matukoy ang isang pagtatangkang pagsamantalahan ang kahinaang ito kapag ginamit sa mga URL o ilang partikular na HTTP header bilang user-agent
Lubos na inirerekomendang gamitin ang log2.15.0j na bersyon 4 sa lalong madaling panahon. Gayunpaman, sa kaso ng mga kahirapan sa paglipat sa bersyong ito, maaaring pansamantalang ilapat ang mga sumusunod na solusyon:
Para sa mga application na gumagamit ng mga bersyon 2.7.0 at mas bago ng log4j library, posibleng maprotektahan laban sa anumang pag-atake sa pamamagitan ng pagbabago sa format ng mga kaganapan na ila-log gamit ang syntax% m {nolookups} para sa data na ibibigay ng user .
Halos kalahati ng lahat ng pag-atake ay ginawa ng mga kilalang cyber attacker, ayon sa Check Point. Kabilang dito ang mga pangkat na gumagamit ng Tsunami at Mirai, malware na ginagawang mga botnet ang mga device, o mga network na ginagamit upang maglunsad ng mga pag-atakeng malayuang kinokontrol, gaya ng mga pag-atake sa pagtanggi sa serbisyo. Kasama rin dito ang mga pangkat na gumagamit ng XMRig, software na nagsasamantala sa Monero digital currency.
"Sa ganitong kahinaan, ang mga umaatake ay nakakakuha ng halos walang limitasyong kapangyarihan: maaari nilang kunin ang kumpidensyal na data, mag-upload ng mga file sa server, magtanggal ng data, mag-install ng ransomware o lumipat sa iba pang mga server," sabi ni Nicholas Sciberras, punong opisyal ng engineering ng Acunetix, vulnerability scanner. "Nakakagulat na madali" na magpatupad ng isang pag-atake, aniya, at idinagdag na ang kapintasan ay "pagsasamantalahan sa susunod na ilang buwan."