Останнім часом ми прокоментували збій Log4J і в цій публікації ми хотіли б поділитися інформацією про те, що дослідникиЯк стверджують, що хакери, включаючи групи, підтримувані китайською державою, а також Росією, здійснили понад 840.000 XNUMX атак проти компаній по всьому світу з минулої п’ятниці через цю вразливість.
Група кібербезпеки Check Point повідомила про пов'язані атаки з уразливістю, яку вони прискорили за 72 години з п’ятниці, і інколи їхні слідчі спостерігали понад 100 атак на хвилину.
Редактор також відзначив велику креативність в адаптації атаки. Іноді менше ніж за 60 години з’являється більше 24 нових варіантів, що впроваджують нові методи обфускації або кодування.
За словами Чарльза Кармакала, технологічного директора кібер-компанії Mandiant, згадуються «зловмисники китайського уряду».
Помилка Log4J дозволяє зловмисникам отримати віддалений контроль над комп’ютерами, на яких запущені програми Java.
Джен на схід, директор Агентства безпеки кібер та інфраструктури США (CISA), - сказав він керівникам галузі, що Уразливість була «одною з найсерйозніших, які я бачив за всю свою кар'єру, якщо не найсерйознішою», за даними американських ЗМІ. За його словами, ймовірно, постраждають сотні мільйонів пристроїв.
У Check Point зазначили, що в багатьох випадках хакери захоплюють комп’ютери та використовують їх для майнінгу криптовалют або стають частиною бот-мереж із величезними комп’ютерними мережами, які можна використовувати для перевантаження трафіку веб-сайтів, розсилки спаму чи в інших незаконних цілях.
Для Касперського більшість атак відбувається з Росії.
CISA і Національний центр кібербезпеки Великобританії випустили попередження, закликаючи організації вносити оновлення, пов’язані з уразливістю Log4J, оскільки експерти намагаються оцінити наслідки.
Amazon, Apple, IBM, Microsoft і Cisco є серед тих, хто поспішає впроваджувати рішення, але жодних серйозних порушень публічно не повідомлялося, поки
Ця вразливість є останньою, що стосується корпоративних мереж, після того, як за останній рік у програмному забезпеченні загального користування від Microsoft і комп’ютерної компанії SolarWinds з’явилися вразливості. Як повідомляється, обидві вразливі місця спочатку використовували підтримувані державою шпигунські угруповання з Китаю та Росії відповідно.
Кармакал з Mandiant сказав, що китайські державні актори також намагаються використати помилку Log4J, але він відмовився поділитися додатковими деталями. Дослідники SentinelOne також повідомили ЗМІ, що вони спостерігали, як китайські хакери скористалися вразливістю.
CERT-FR рекомендує провести ретельний аналіз мережевих журналів. Наведені нижче причини можуть бути використані для виявлення спроби використання цієї вразливості під час використання в URL-адресах або певних заголовках HTTP як агента користувача
Настійно рекомендується використовувати log2.15.0j версії 4 якомога швидше. Однак у разі труднощів із переходом на цю версію можна тимчасово застосувати наступні рішення:
Для програм, які використовують бібліотеку log2.7.0j версії 4 і пізнішої, можна захистити від будь-якої атаки, змінивши формат подій, які будуть реєструватися за допомогою синтаксису% m {nolookups} для даних, які надасть користувач. .
За даними Check Point, майже половина всіх атак була здійснена відомими кібератаками. Сюди входять групи, які використовують Tsunami і Mirai, шкідливе програмне забезпечення, яке перетворює пристрої на ботнети, або мережі, які використовуються для запуску дистанційно керованих атак, таких як атаки на відмову в обслуговуванні. Сюди також входили групи, які використовують XMRig, програмне забезпечення, яке використовує цифрову валюту Monero.
«Завдяки цій уразливості зловмисники отримують майже необмежену потужність: вони можуть витягувати конфіденційні дані, завантажувати файли на сервер, видаляти дані, інсталювати програмне забезпечення-вимагач або переключатися на інші сервери», — сказав Ніколас Скіберрас, головний інженер Acunetix, сканер уразливості. За його словами, здійснити атаку було «напрочуд легко», додавши, що недолік «буде використано протягом наступних кількох місяців».