Jen Easterly, dyrektor amerykańskiej agencji ds. bezpieczeństwa cybernetycznego i infrastruktury (CISA), ostrzegła, że ​​nowo odkryta luka Log4j może być „jedną z najpoważniejszych”, jakie widziała w całej swojej karierze, „jeśli nie najpoważniejszą”.

Według niej, luka ta będzie szeroko wykorzystywana przez doświadczonych atakujących, a według popularnego zasobu Techradar, zostało niewiele czasu na podjęcie niezbędnych kroków w celu zmniejszenia prawdopodobieństwa uszkodzenia.

Na początku tego miesiąca w popularnej strukturze rejestrowania Java Log4j wykryto nową lukę umożliwiającą zdalne wykonanie kodu (CVE-2021-44228) o ogromnym potencjale destrukcyjnym. Pozwala atakującym uruchomić prawie każdy kod. Eksperci ostrzegają, że wykorzystanie tej luki nie wymaga większych umiejętności. Porównano go z problemem z 2017 roku, który doprowadził do włamania do Equifax, które ujawniło tożsamość prawie 150 milionów osób.

Według Cloudflare i Cisco Talos pierwsze ataki przy użyciu Log4Shell zostały zarejestrowane 1 i 2 grudnia 2021 r., ale w zeszły weekend rozpoczęły się masowe próby eksploatacji. Za pośrednictwem Log4Shell hakerzy infekują podatne na ataki urządzenia z systemem Linux złośliwym oprogramowaniem Mirai i Muhstik, które instaluje kryptokoparki i umożliwia ataki DDoS na dużą skalę. Według ekspertów firmy Lacework zajmującej się bezpieczeństwem w chmurze, osoby atakujące wykorzystują również lukę w celu dostarczenia do atakowanych systemów koparki kryptowalut Kinsing. Microsoft Threat Intelligence Center uważa, że ​​luka może zostać wykorzystana do zainstalowania Cobalt Strike. Istnieją dowody na ataki za pośrednictwem Log4Shell na Apple iCloud i Minecraft.

Zakres oddziaływań jest tak szeroki ze względu na samą naturę podatności. Deweloperzy używają struktur rejestrowania, aby śledzić, co dzieje się w danej aplikacji.

Według ekspertów z Kaspersky Lab cyberprzestępcy muszą jedynie zmusić aplikację do zapisania tylko jednej linii w dzienniku, dzięki czemu będą mogli załadować do aplikacji własny kod dzięki funkcji zastępowania wyszukiwania wiadomości.

Firmy dotknięte usterką to: Apple, Tencent, Twitter, Baidu, Steam, Minecraft, Cloudflare, Amazon, Tesla, Palo Alto Networks, IBM, Pulse Secure, Ghidra, ElasticSearch, Apache, Google, Webex, LinkedIn, Cisco i VMware . Ta lista jest stale aktualizowana.

Istnieją mocne dowody na to, że cyberprzestępcy rozpoczęli masowe skanowanie Internetu w poszukiwaniu aplikacji, które nie załatały jeszcze tej luki. Eksperci uważają, że Log4Shell będzie nadal „siewać spustoszenie w Internecie przez wiele lat”.

Apache Foundation zaleca, aby wszyscy programiści zaktualizowali bibliotekę do wersji 2.15.0, a jeśli nie jest to możliwe, użyj jednej z metod opisanych na stronie Apache Log4j Security Luki.

We wtorek brytyjskie Narodowe Centrum Bezpieczeństwa Cybernetycznego opublikowało zalecenia dotyczące naprawy luki na swojej stronie internetowej i poprosiło wszystkie organizacje o zgłaszanie incydentów z nią związanych.

bbabo.Net