Chris startet sitt journalistiske eventyr i 2006 som redaktør for Builder AU etter at han opprinnelig begynte i CBS som programmerer. Etter et kanadisk opphold kom han tilbake i 2011 som redaktør for TechRepublic Australia, og er nå australsk redaktør for ZDNet.
Full bio 13. desember 2021 | Emne: Sikkerhet
Bilde: Kevin Beaumont
Bruken av den ekle sårbarheten i Java-loggbiblioteket Apache Log4j som tillot uautentisert ekstern kjøring av kode, kunne ha startet så tidlig som 1. desember.
“De tidligste bevisene vi har funnet så langt på #Log4J-utnyttelse er 2021-12-01 04:36:50 UTC,” sa Cloudflare-sjef Matthew Prince på Twitter.
“Det tyder på at det var i naturen minst 9 dager før det ble offentliggjort. Du ser imidlertid ikke bevis på masseutnyttelse før etter offentlig avsløring.”
Cisco Talos sa i et blogginnlegg at de observerte aktivitet for sårbarheten kjent som CVE-2021-44228 fra 2. desember, og de som leter etter indikatorer på kompromiss bør utvide søkene sine til minst så langt tilbake.
Takket være allestedsnærheten til det berørte biblioteket, sa Talos at det så ledetid fra angripere som utførte masseskanning til tilbakeringinger, og kan skyldes sårbare, men ikke-målrettede systemer – som SIEM-er og logg samlere — blir utløst av utnyttelsen.
Den la til at Mirai-botnettet begynte å bruke sårbarheten. Forskere ved Netlab 360 sa at de hadde sett Log4j-sårbarheten brukt til å lage Muhstik og Mirai-botnett som gikk etter Linux-enheter.
I løpet av helgen har leverandører hastet med å få ut oppdateringer og dokumentere løsninger for berørte produkter. Sluttresultatene har vært produktmatriser som de fra VMware og Cisco der noen produkter har patcher tilgjengelig, noen har løsninger, og andre forblir sårbare. Begge leverandørene fikk CVE-2021-44228 som en perfekt 10.
De foreslåtte løsningene setter vanligvis enten log4j2.formatMsgNoLookups-flagget til true, eller fjerner JndiLookup-klassen fra klassebanen som brukes av Java.
Et Reddit-innlegg fra NCC Group blir jevnlig oppdatert, og viser hvordan utnyttelsen kan brukes til å eksfiltrere AWS-hemmeligheter, så vel som alle slags Java-systemegenskaper.
En sikkerhetsforsker var i stand til å utløse utnyttelsen ved å bruke Little Bobby Tables på iPhone-navnet sitt.
Sophos sa at de så sårbarheten som allerede ble brukt av kryptominere.
På den morsommere fronten var en Minecraft-modutvikler i stand til å bruke sårbarheten til å gjøre en Minecraft-server om til en som spilte Doom i stedet.
“For en eller annen sammenheng er dette en helt vaniljeklient som kobler til en modifisert server, som gjennom denne utnyttelsen sender over og kjører koden for å kjøre undergang,” sa Gegy.
Microsofts trusselanalytiker Kevin Beaumont sa at dybdeforsvar var “sannsynligvis ditt beste alternativ”.
“For å gi en spoiler for Log4Shell, vil dette ta uker å spille ut for å etablere angrepsoverflaten (den er stor) og deretter kanskje en måned eller mer før patcher gjøres tilgjengelig,” sa han .
Relatert dekning
Sikkerhetsadvarsel: Ny nulldag i Log4j Java-biblioteket blir allerede utnyttetHackere skjuler den ondsinnede JavaScript-koden sin med et vanskelig triksVolvo kunngjør at noen R&D-filer er stjålet under nettangrep Det brasilianske helsedepartementet blir utsatt for nettangrep og covid-19-vaksinasjonsdata forsvinner. Utvikler | Sikkerhets-TV | Databehandling | CXO | Datasentre