Ključni izsledki
- Hekerji so objavili kodo, ki razkriva izkoriščanje v pogosto uporabljeni knjižnici beleženja Java.
- Strokovnjaki za kibernetsko varnost so opazili množično skeniranje po spletu v iskanju strežnikov in storitev, ki jih je mogoče izkoriščati.
-
Agencija za kibernetsko varnost in varnost infrastrukture (CISA) je pozvala prodajalce in uporabnike, naj nujno popravijo in posodobijo svojo programsko opremo in storitve.
Kibernetska varnost je v plamenih zaradi ranljivosti, ki jo je mogoče zlahka izkoristiti, v priljubljeni knjižnici za beleženje Java, Log4j. Uporablja jo vsaka priljubljena programska oprema in storitev in je morda že začela vplivati na vsakdanje uporabnike namizja in pametnega telefona.
Strokovnjaki za kibernetsko varnost opažajo veliko različnih primerov uporabe za izkoriščanje Log4j, ki se že pojavljajo na temnem spletu, od izkoriščanja strežnikov Minecraft do bolj odmevnih težav, za katere menijo, da bi lahko vplivale na Apple iCloud.
"Ta ranljivost Log4j ima učinek pretoka navzdol in vpliva na vse velike ponudnike programske opreme, ki bi to komponento morda uporabljali kot del pakiranja svojih aplikacij," je za Lifewire po elektronski pošti povedal John Hammond, višji varnostni raziskovalec pri Huntress. "Varnostna skupnost je med drugim odkrila ranljive aplikacije drugih proizvajalcev tehnologije, kot so Apple, Twitter, Tesla [in] Cloudflare. Medtem ko govorimo, industrija še vedno raziskuje obsežno površino napadov in tveganje, ki ga predstavlja ta ranljivost."
Ogenj v luknji
Ranljivost, sledena kot CVE-2021-44228 in imenovana Log4Shell, ima najvišjo oceno resnosti 10 v skupnem sistemu točkovanja ranljivosti (CVSS).
GreyNoise, ki analizira internetni promet, da bi zaznal pomembne varnostne signale, je prvič opazil dejavnost za to ranljivost 9. decembra 2021. Takrat so se začela pojavljati izkoriščanja dokazov koncepta (PoC) z orožjem, kar je vodilo do hitro povečanje skeniranja in javnega izkoriščanja 10. decembra 2021 in do konca tedna.
Log4j je močno integriran v širok nabor ogrodij DevOps in podjetniških informacijskih sistemov ter v programsko opremo za končne uporabnike in priljubljene aplikacije v oblaku.
Ob razlagi resnosti ranljivosti je Anirudh Batra, analitik groženj pri CloudSEK, povedal Lifewire po e-pošti, da bi jo akter grožnje lahko izkoristil za izvajanje kode na oddaljenem strežniku.
"Zaradi tega so postale ranljive celo priljubljene igre, kot je Minecraft. Napadalec lahko to izkoristi samo z objavo koristnega tovora v klepetalnici. Ranljive niso samo Minecraft, ampak tudi druge priljubljene storitve, kot sta iCloud [in] Steam, " Batra je pojasnil in dodal, da je "sprožitev ranljivosti v iPhonu tako preprosta kot sprememba imena naprave."
Vrh ledene gore
Podjetje za kibernetsko varnost Tenable predlaga, da celoten obseg ranljivosti še nekaj časa ne bo znan, ker je Log4j vključen v številne spletne aplikacije in ga uporabljajo različne storitve v oblaku.
Podjetje opozarja na repozitorij GitHub, ki sledi prizadetim storitvam, ki v času pisanja navaja približno tri ducate proizvajalcev in storitev, vključno s priljubljenimi, kot so Google, LinkedIn, Webex, Blender in drugi, omenjeni prej.
Ko govorimo, industrija še vedno raziskuje obsežno površino napadov in tveganje, ki ga predstavlja ta ranljivost.
Do zdaj je bila velika večina dejavnosti skeniranje, opažene pa so bile tudi dejavnosti izkoriščanja in po izkoriščanju.
»Microsoft je opazil dejavnosti, vključno z nameščanjem rudarjev kovancev, Cob alt Strike za omogočanje kraje poverilnic in stranskega premika ter izločanjem podatkov iz ogroženih sistemov,« piše Microsoft Threat Intelligence Center.
Zategnite lopute
Zato ni presenetljivo, da zaradi enostavnosti izkoriščanja in razširjenosti Log4j Andrew Morris, ustanovitelj in izvršni direktor GreyNoise, za Lifewire pravi, da verjame, da se bo sovražna dejavnost v naslednjih nekaj dneh še povečevala.
Dobra novica pa je, da je Apache, razvijalec ranljive knjižnice, izdal popravek za kastracijo podvigov. Toda zdaj je na posameznih izdelovalcih programske opreme, da popravijo svoje različice in tako zaščitijo svoje stranke.
Kunal Anand, tehnični direktor podjetja za kibernetsko varnost Imperva, je za Lifewire po elektronski pošti povedal, da medtem ko je večina kontradiktorne kampanje, ki izkorišča ranljivost, trenutno usmerjena proti poslovnim uporabnikom, morajo končni uporabniki ostati pozorni in zagotoviti, da posodobijo svojo prizadeto programsko opremo takoj ko bodo popravki na voljo.
To mnenje je ponovila Jen Easterly, direktorica Agencije za kibernetsko varnost in varnost infrastrukture (CISA).
Končni uporabniki bodo odvisni od svojih prodajalcev in skupnost prodajalcev mora nemudoma prepoznati, ublažiti in popraviti široko paleto izdelkov, ki uporabljajo to programsko opremo. Prodajalci bi morali prav tako komunicirati s svojimi strankami, da zagotovijo, da končni uporabniki vedo da njihov izdelek vsebuje to ranljivost in bi moral dati prednost posodobitvam programske opreme, «je dejal Easterly prek izjave.