Jen Easterly, dyrektor amerykańskiej agencji ds. bezpieczeństwa cybernetycznego i infrastruktury (CISA), ostrzegła, że nowo odkryta luka Log4j może być „jedną z najpoważniejszych”, jakie widziała w całej swojej karierze, „jeśli nie najpoważniejszą”.
Według niej, luka ta będzie szeroko wykorzystywana przez doświadczonych atakujących, a według popularnego zasobu Techradar, zostało niewiele czasu na podjęcie niezbędnych kroków w celu zmniejszenia prawdopodobieństwa uszkodzenia.
Na początku tego miesiąca w popularnej strukturze rejestrowania Java Log4j wykryto nową lukę umożliwiającą zdalne wykonanie kodu (CVE-2021-44228) o ogromnym potencjale destrukcyjnym. Pozwala atakującym uruchomić prawie każdy kod. Eksperci ostrzegają, że wykorzystanie tej luki nie wymaga większych umiejętności. Porównano go z problemem z 2017 roku, który doprowadził do włamania do Equifax, które ujawniło tożsamość prawie 150 milionów osób.
Według Cloudflare i Cisco Talos pierwsze ataki przy użyciu Log4Shell zostały zarejestrowane 1 i 2 grudnia 2021 r., ale w zeszły weekend rozpoczęły się masowe próby eksploatacji. Za pośrednictwem Log4Shell hakerzy infekują podatne na ataki urządzenia z systemem Linux złośliwym oprogramowaniem Mirai i Muhstik, które instaluje kryptokoparki i umożliwia ataki DDoS na dużą skalę. Według ekspertów firmy Lacework zajmującej się bezpieczeństwem w chmurze, osoby atakujące wykorzystują również lukę w celu dostarczenia do atakowanych systemów koparki kryptowalut Kinsing. Microsoft Threat Intelligence Center uważa, że luka może zostać wykorzystana do zainstalowania Cobalt Strike. Istnieją dowody na ataki za pośrednictwem Log4Shell na Apple iCloud i Minecraft.
Zakres oddziaływań jest tak szeroki ze względu na samą naturę podatności. Deweloperzy używają struktur rejestrowania, aby śledzić, co dzieje się w danej aplikacji.
Według ekspertów z Kaspersky Lab cyberprzestępcy muszą jedynie zmusić aplikację do zapisania tylko jednej linii w dzienniku, dzięki czemu będą mogli załadować do aplikacji własny kod dzięki funkcji zastępowania wyszukiwania wiadomości.
Firmy dotknięte usterką to: Apple, Tencent, Twitter, Baidu, Steam, Minecraft, Cloudflare, Amazon, Tesla, Palo Alto Networks, IBM, Pulse Secure, Ghidra, ElasticSearch, Apache, Google, Webex, LinkedIn, Cisco i VMware . Ta lista jest stale aktualizowana.
Istnieją mocne dowody na to, że cyberprzestępcy rozpoczęli masowe skanowanie Internetu w poszukiwaniu aplikacji, które nie załatały jeszcze tej luki. Eksperci uważają, że Log4Shell będzie nadal „siewać spustoszenie w Internecie przez wiele lat”.
Apache Foundation zaleca, aby wszyscy programiści zaktualizowali bibliotekę do wersji 2.15.0, a jeśli nie jest to możliwe, użyj jednej z metod opisanych na stronie Apache Log4j Security Luki.
We wtorek brytyjskie Narodowe Centrum Bezpieczeństwa Cybernetycznego opublikowało zalecenia dotyczące naprawy luki na swojej stronie internetowej i poprosiło wszystkie organizacje o zgłaszanie incydentów z nią związanych.
bbabo.Net