Key takeaways
- Hackere la ut en kode som avslører en utnyttelse i et mye brukt Java-loggbibliotek.
- Sybersikkerhetseksperter la merke til masseskanning over nettet på jakt etter utnyttbare servere og tjenester.
-
The Cybersecurity and Infrastructure Security Agency (CISA) har oppfordret leverandører og brukere til å lappe og oppdatere programvaren og tjenestene sine snarest.
Nettsikkerhetslandskapet brenner på grunn av en lett utnyttbar sårbarhet i et populært Java-loggingsbibliotek, Log4j. Den brukes av alle populære programvarer og tjenester og har kanskje allerede begynt å påvirke den daglige brukeren av datamaskiner og smarttelefoner.
Sybersikkerhetseksperter ser en lang rekke bruksområder for Log4j-utnyttelsen som allerede begynner å dukke opp på det mørke nettet, alt fra utnyttelse av Minecraft-servere til mer høyprofilerte problemer de tror kan potensielt påvirke Apple iCloud.
"Denne Log4j-sårbarheten har en trickle-down-effekt, og påvirker alle store programvareleverandører som kan bruke denne komponenten som en del av applikasjonspakken deres," sa John Hammond, senior sikkerhetsforsker ved Huntress, til Lifewire via e-post. "Sikkerhetsfellesskapet har avdekket sårbare applikasjoner fra andre teknologiprodusenter som Apple, Twitter, Tesla, [og] Cloudflare, blant andre. Mens vi snakker, utforsker industrien fortsatt den enorme angrepsoverflaten og risikoen som denne sårbarheten utgjør."
Brann i hullet
Sårbarheten sporet som CVE-2021-44228 og k alt Log4Shell, har den høyeste alvorlighetsgraden på 10 i det vanlige sårbarhetsscoringssystemet (CVSS).
GreyNoise, som analyserer Internett-trafikk for å fange opp viktige sikkerhetssignaler, observerte første gang aktivitet for dette sikkerhetsproblemet 9. desember 2021. Det var da våpenbaserte proof-of-concept-utnyttelser (PoCs) begynte å dukke opp, noe som førte til en rask økning i skanning og offentlig utnyttelse 10. desember 2021 og gjennom helgen.
Log4j er sterkt integrert i et bredt sett av DevOps-rammeverk og IT-systemer for bedrifter og i sluttbrukerprogramvare og populære skyapplikasjoner.
Anirudh Batra, en trusselanalytiker ved CloudSEK, forklarer alvorlighetsgraden av sikkerhetsproblemet, til Lifewire via e-post at en trusselaktør kan utnytte den til å kjøre kode på en ekstern server.
"Dette har gjort til og med populære spill som Minecraft sårbare. En angriper kan utnytte det bare ved å legge inn en nyttelast i chatboksen. Ikke bare Minecraft, men andre populære tjenester som iCloud [og] Steam er også sårbare," Batra forklarte, og la til at "å utløse sårbarheten i en iPhone er like enkelt som å endre navnet på enheten.«
Tip of the Iceberg
Cybersikkerhetsselskapet Tenable antyder at fordi Log4j er inkludert i en rekke nettapplikasjoner og brukes av en rekke skytjenester, vil hele omfanget av sårbarheten ikke være kjent på en stund.
Selskapet peker på et GitHub-lager som sporer de berørte tjenestene, som i skrivende stund viser omtrent tre dusin produsenter og tjenester, inkludert populære som Google, LinkedIn, Webex, Blender og andre nevnt tidligere.
Når vi snakker, utforsker industrien fortsatt den enorme angrepsoverflaten og risikerer denne sårbarheten.
Til nå har det store flertallet av aktiviteten vært skanning, men utnyttelse og aktiviteter etter utnyttelse har også blitt sett.
"Microsoft har observert aktiviteter inkludert installasjon av myntgruvearbeidere, Cob alt Strike for å muliggjøre legitimasjonstyveri og sideveis bevegelse, og eksfiltrering av data fra kompromitterte systemer," skriver Microsoft Threat Intelligence Center.
Batten Down the Hatches
Det er derfor ingen overraskelse at på grunn av den enkle utnyttelsen og utbredelsen av Log4j, sier Andrew Morris, grunnlegger og administrerende direktør for GreyNoise, til Lifewire at han tror den fiendtlige aktiviteten vil fortsette å øke i løpet av de neste dagene.
Den gode nyheten er imidlertid at Apache, utviklerne av det sårbare biblioteket, har utstedt en oppdatering for å kastrere utnyttelsene. Men det er nå opp til individuelle programvareprodusenter å lappe opp versjonene sine for å beskytte kundene sine.
Kunal Anand, CTO for cybersikkerhetsselskapet Imperva, sier til Lifewire via e-post at selv om det meste av motstandskampanjen som utnytter sårbarheten for øyeblikket er rettet mot bedriftsbrukere, må sluttbrukere være på vakt og sørge for at de oppdaterer den berørte programvaren. så snart oppdateringer er tilgjengelige.
Følelsen ble gjentatt av Jen Easterly, direktør ved Cybersecurity and Infrastructure Security Agency (CISA).
Sluttbrukere vil være avhengige av sine leverandører, og leverandørfellesskapet må umiddelbart identifisere, redusere og lappe det store utvalget av produkter som bruker denne programvaren. Leverandører bør også kommunisere med kundene sine for å sikre at sluttbrukerne vet at produktet deres inneholder denne sårbarheten og bør prioritere programvareoppdateringer», sa Easterly via en uttalelse.
