Recomandări cheie
- Hackeri au postat un cod care dezvăluie un exploit într-o bibliotecă de jurnalizare Java utilizată pe scară largă.
- Detectorii de securitate cibernetică au observat scanări în masă pe web în căutarea de servere și servicii exploatabile.
-
Agenția de securitate cibernetică și de securitate a infrastructurii (CISA) a îndemnat furnizorii și utilizatorii să-și corecteze și să-și actualizeze software-ul și serviciile de urgență.
Peisajul securității cibernetice este în flăcări din cauza unei vulnerabilități ușor de exploatat într-o bibliotecă populară de jurnalizare Java, Log4j. Este folosit de fiecare software și serviciu popular și poate că a început deja să afecteze utilizatorii obișnuiți de desktop și smartphone.
Experții în securitate cibernetică văd o mare varietate de cazuri de utilizare pentru exploit-ul Log4j care încep deja să apară pe dark web, de la exploatarea serverelor Minecraft la probleme mai importante despre care cred că ar putea afecta Apple iCloud.
„Această vulnerabilitate Log4j are un efect de scurgere, impactând toți furnizorii mari de software care ar putea folosi această componentă ca parte a pachetului lor de aplicații”, a declarat John Hammond, cercetător senior de securitate la Huntress, pentru Lifewire prin e-mail. „Comunitatea de securitate a descoperit aplicații vulnerabile de la alți producători de tehnologie precum Apple, Twitter, Tesla [și] Cloudflare, printre altele. În timp ce vorbim, industria încă explorează suprafața vastă de atac și riscul pe care îl prezintă această vulnerabilitate.”
Foc în gaură
Vulnerabilitatea urmărită ca CVE-2021-44228 și denumită Log4Shell, are cel mai mare scor de severitate de 10 în sistemul comun de scorare a vulnerabilităților (CVSS).
GreyNoise, care analizează traficul de internet pentru a capta semnale de securitate remarcabile, a observat pentru prima dată activitate pentru această vulnerabilitate pe 9 decembrie 2021. Atunci au început să apară exploatările de dovadă a conceptului (PoC) cu arme, ducând la o creștere rapidă a scanării și exploatării publice pe 10 decembrie 2021 și în weekend.
Log4j este puternic integrat într-un set larg de cadre DevOps și sisteme IT de întreprindere și în software-ul utilizatorului final și în aplicațiile cloud populare.
Explicând gravitatea vulnerabilității, Anirudh Batra, un analist de amenințări la CloudSEK, îi spune lui Lifewire prin e-mail că un actor de amenințare ar putea să o exploateze pentru a rula cod pe un server la distanță.
„Acest lucru a lăsat vulnerabile chiar și jocurile populare precum Minecraft. Un atacator îl poate exploata doar postând o sarcină utilă în caseta de chat. Nu numai Minecraft, ci și alte servicii populare precum iCloud [și] Steam sunt, de asemenea, vulnerabile,” Batra a explicat, adăugând că „declanșarea vulnerabilității într-un iPhone este la fel de simplă ca schimbarea numelui dispozitivului.„
Vârful aisbergului
Compania de securitate cibernetică Tenable sugerează că, deoarece Log4j este inclus într-o serie de aplicații web și este utilizat de o varietate de servicii cloud, întreaga vulnerabilitate nu va fi cunoscută de ceva timp.
Compania indică un depozit GitHub care urmărește serviciile afectate, care, la momentul scrierii, listează aproximativ trei duzini de producători și servicii, inclusiv cele populare precum Google, LinkedIn, Webex, Blender și altele menționate mai devreme.
În timp ce vorbim, industria încă explorează suprafața vastă de atac și riscul pe care îl prezintă această vulnerabilitate.
Până acum, marea majoritate a activității a fost scanare, dar au fost observate și activități de exploatare și post-exploatare.
„Microsoft a observat activități, inclusiv instalarea de mineri de monede, Cob alt Strike pentru a permite furtul de acreditări și mișcarea laterală și exfiltrarea datelor din sistemele compromise”, scrie Microsoft Threat Intelligence Center.
Batten Down the Hatses
Așadar, nu este surprinzător că, din cauza ușurinței de exploatare și a prevalenței Log4j, Andrew Morris, fondatorul și CEO-ul GreyNoise, spune lui Lifewire că crede că activitatea ostilă va continua să crească în următoarele zile.
Totuși, vestea bună este că Apache, dezvoltatorii bibliotecii vulnerabile, a lansat un patch pentru a neutraliza exploit-urile. Dar acum depinde de producătorii individuali de software să-și modifice versiunile pentru a-și proteja clienții.
Kunal Anand, CTO al companiei de securitate cibernetică Imperva, a declarat pentru Lifewire prin e-mail că, deși cea mai mare parte a campaniei adverse care exploatează vulnerabilitatea este în prezent direcționată către utilizatorii întreprinderilor, utilizatorii finali trebuie să rămână vigilenți și să se asigure că își actualizează software-ul afectat. de îndată ce patch-urile sunt disponibile.
Sentimentul a fost reluat de Jen Easterly, director la Agenția de securitate cibernetică și a infrastructurii (CISA).
Utilizatorii finali se vor baza pe furnizorii lor, iar comunitatea de furnizori trebuie să identifice, să atenueze și să corecteze imediat gama largă de produse care utilizează acest software. De asemenea, furnizorii ar trebui să comunice cu clienții lor pentru a se asigura că utilizatorii finali știu că produsul lor conține această vulnerabilitate și ar trebui să acorde prioritate actualizărilor de software”, a spus Easterly printr-o declarație.
