Kľúčové poznatky
- Hackeri zverejnili kód odhaľujúci exploit v široko používanej knižnici protokolovania Java.
- Kyberbezpečnostní detektívi zaznamenali hromadné skenovanie na webe a hľadali zneužiteľné servery a služby.
-
Agentúra pre kybernetickú bezpečnosť a bezpečnosť infraštruktúry (CISA) vyzvala predajcov a používateľov, aby urýchlene opravili a aktualizovali svoj softvér a služby.
Pozemie kybernetickej bezpečnosti je v plameňoch kvôli ľahko zneužiteľnej zraniteľnosti populárnej protokolovacej knižnice Java Log4j. Používa ho každý populárny softvér a služba a možno už začal ovplyvňovať každodenného používateľa stolných počítačov a smartfónov.
Odborníci na kybernetickú bezpečnosť vidia širokú škálu prípadov použitia zneužitia Log4j, ktoré sa už začína objavovať na temnom webe, od zneužívania serverov Minecraft až po vážnejšie problémy, o ktorých sa domnievajú, že by mohli potenciálne ovplyvniť Apple iCloud.
„Táto zraniteľnosť Log4j má efekt poklesu a ovplyvňuje všetkých veľkých poskytovateľov softvéru, ktorí môžu používať tento komponent ako súčasť balenia svojich aplikácií,“povedal pre Lifewire e-mailom John Hammond, hlavný bezpečnostný výskumník v spoločnosti Huntress. „Bezpečnostná komunita odhalila zraniteľné aplikácie od iných technologických výrobcov, ako sú Apple, Twitter, Tesla, [a] Cloudflare, medzi inými. Zatiaľ čo hovoríme, toto odvetvie stále skúma rozsiahlu plochu útoku a riskuje, že táto zraniteľnosť predstavuje.“
Oheň v diere
Zraniteľnosť sledovaná ako CVE-2021-44228 a nazývaná Log4Shell má najvyššie skóre závažnosti 10 v bežnom systéme hodnotenia zraniteľnosti (CVSS).
GreyNoise, ktorá analyzuje internetovú prevádzku s cieľom zachytiť významné bezpečnostné signály, prvýkrát zaznamenala aktivitu týkajúcu sa tejto zraniteľnosti 9. decembra 2021. Vtedy sa začali objavovať zbrojné proof-of-concept exploity (PoC), ktoré viedli k rýchly nárast skenovania a verejného využívania 10. decembra 2021 a cez víkend.
Log4j je silne integrovaný do širokého súboru rámcov DevOps a podnikových IT systémov a do softvéru pre koncových používateľov a populárnych cloudových aplikácií.
Anirudh Batra, analytik hrozieb zo spoločnosti CloudSEK, vysvetľuje závažnosť tejto zraniteľnosti a prostredníctvom e-mailu informuje Lifewire, že aktér hrozby by ju mohol zneužiť na spustenie kódu na vzdialenom serveri.
“Batra vysvetlil a dodal, že „spustenie zraniteľnosti v iPhone je také jednoduché ako zmena názvu zariadenia."
Tip of the Iceberg
Spoločnosť Tenable zaoberajúca sa kybernetickou bezpečnosťou tvrdí, že keďže Log4j je súčasťou množstva webových aplikácií a používajú ho rôzne cloudové služby, nebude ešte nejaký čas známy úplný rozsah zraniteľnosti.
Spoločnosť poukazuje na úložisko GitHub, ktoré sleduje ovplyvnené služby, ktoré v čase písania tohto článku obsahuje približne tri desiatky výrobcov a služieb vrátane populárnych, ako sú Google, LinkedIn, Webex, Blender a ďalších, o ktorých sa už hovorilo.
Zatiaľ čo hovoríme, priemysel stále skúma rozsiahlu útočnú plochu a riskuje túto zraniteľnosť.
Doteraz prevažná väčšina aktivít prebiehala skenovaním, ale pozorovali sme aj vykorisťovanie a aktivity po vykorisťovaní.
"Microsoft pozoroval aktivity vrátane inštalácie mincovníkov, Cob alt Strike na umožnenie krádeže poverení a bočného pohybu a exfiltrácie údajov z kompromitovaných systémov," píše Microsoft Threat Intelligence Center.
Batten Down the Hatches
Nie je teda žiadnym prekvapením, že vzhľadom na ľahké využitie a rozšírenosť Log4j, Andrew Morris, zakladateľ a generálny riaditeľ spoločnosti GreyNoise, povedal Lifewire, že verí, že nepriateľská aktivita bude v najbližších dňoch narastať.
Dobrou správou však je, že Apache, vývojári zraniteľnej knižnice, vydali opravu na kastráciu exploitov. Teraz je však na jednotlivých tvorcoch softvéru, aby opravili svoje verzie, aby ochránili svojich zákazníkov.
Kunal Anand, CTO spoločnosti Imperva zaoberajúcej sa kybernetickou bezpečnosťou, e-mailom pre Lifewire povedal, že zatiaľ čo väčšina nepriateľskej kampane využívajúcej túto zraniteľnosť je v súčasnosti zameraná na podnikových používateľov, koncoví používatelia musia zostať ostražití a musia aktualizovať svoj dotknutý softvér. hneď ako budú dostupné záplaty.
Tento sentiment zopakovala Jen Easterlyová, riaditeľka Agentúry pre kybernetickú bezpečnosť a bezpečnosť infraštruktúry (CISA).
Koncoví používatelia sa budú spoliehať na svojich dodávateľov a komunita dodávateľov musí okamžite identifikovať, zmierniť a opraviť širokú škálu produktov používajúcich tento softvér. Predajcovia by tiež mali komunikovať so svojimi zákazníkmi, aby zabezpečili, že koncoví používatelia budú vedieť že ich produkt obsahuje túto zraniteľnosť a mal by uprednostňovať aktualizácie softvéru,“povedal Easterly prostredníctvom vyhlásenia.