Skrevet af Chris Duckett, APAC-redaktør 
Chris startede sit journalistiske eventyr i 2006 som redaktør for Builder AU, efter han oprindeligt kom til CBS som programmør. Efter et ophold i Canada vendte han tilbage i 2011 som redaktør for TechRepublic Australia og er nu australsk redaktør for ZDNet.
Fuld bio den 13. december 2021 | Emne: Sikkerhed
Billede: Kevin Beaumont
Brugen af den grimme sårbarhed i Java-logningsbiblioteket Apache Log4j, der tillod uautoriseret fjernudførelse af kode, kunne være startet allerede den 1. december.
“De tidligste beviser, vi hidtil har fundet på #Log4J-udnyttelse, er 2021-12-01 04:36:50 UTC,” sagde Cloudflares CEO Matthew Prince på Twitter.
“Det tyder på, at den var i naturen mindst 9 dage før den blev offentliggjort. Du kan dog ikke se beviser for masseudnyttelse før efter offentliggørelsen.”
Cisco Talos sagde i et blogindlæg, at det observerede aktivitet for sårbarheden kendt som CVE-2021-44228 fra 2. december, og dem, der leder efter indikatorer på kompromis, bør udvide deres søgninger til mindst så langt tilbage.
Takket være det berørte biblioteks allestedsnærværende udbredelse sagde Talos, at det så ledetid fra angribere, der udførte massescanning til tilbagekald, og kunne skyldes sårbare, men ikke-målrettede systemer – såsom SIEM'er og log samlere — bliver udløst af udnyttelsen.
Det tilføjede, at Mirai-botnettet begyndte at bruge sårbarheden. Forskere ved Netlab 360 sagde, at de havde set Log4j-sårbarheden brugt til at skabe Muhstik og Mirai botnets, der gik efter Linux-enheder.
I weekenden har leverandører hastet med at få patches ud og dokumentere løsninger på de berørte produkter. Slutresultaterne har været produktmatricer som dem fra VMware og Cisco, hvor nogle produkter har patches tilgængelige, nogle har løsninger, og andre forbliver sårbare. Begge leverandører fik CVE-2021-44228 som en perfekt 10.
De foreslåede løsninger sætter typisk enten log4j2.formatMsgNoLookups-flaget til sand eller fjerner JndiLookup-klassen fra klassestien, der bruges af Java.
Et Reddit-indlæg fra NCC Group bliver løbende opdateret og viser, hvordan udnyttelsen kan bruges til at udslette AWS-hemmeligheder, såvel som alle mulige Java-systemegenskaber.
En sikkerhedsforsker var i stand til at udløse udnyttelsen ved at bruge Little Bobby Tables på sit iPhone-navn.
Sophos sagde, at den kunne se den sårbarhed, der allerede blev brugt af kryptominere.
På den mere behagelige front var en Minecraft-modudvikler i stand til at bruge sårbarheden til at forvandle en Minecraft-server til en, der spillede Doom i stedet.
“For nogle sammenhænge er dette en helt vaniljeklient, der forbinder til en modificeret server, som gennem denne udnyttelse sender og eksekverer koden for at køre doom,” sagde Gegy.
Microsofts trusselsanalytiker Kevin Beaumont sagde, at dybdeforsvar var “sandsynligvis din bedste mulighed”.
“For at give en spoiler for Log4Shell, vil det tage uger at spille ud for at etablere angrebsfladen (den er stor) og derefter måske en måned eller mere, før patches bliver gjort tilgængelige,” sagde han .
Relateret dækning
Sikkerhedsadvarsel: Ny zero-day i Log4j Java-biblioteket bliver allerede udnyttetHackere skjuler deres ondsindede JavaScript-kode med et svært at slå trickVolvo annoncerer nogle R&D-filer stjålet under cyberangreb Det brasilianske sundhedsministerium lider under cyberangreb og COVID-19-vaccinationsdata forsvinder. Udvikler | Sikkerheds-tv | Datastyring | CXO | Datacentre