Skrivet av Chris Duckett, APAC-redaktör 
Chris började sitt journalistiska äventyr 2006 som redaktör för Builder AU efter att ha börjat med CBS som programmerare. Efter en kanadensisk vistelse återvände han 2011 som redaktör för TechRepublic Australia och är nu australiensisk redaktör för ZDNet.
Fullständig bio den 13 december 2021 | Ämne: Säkerhet
Bild: Kevin Beaumont
Användningen av den otäcka sårbarheten i Java-loggningsbiblioteket Apache Log4j som möjliggjorde oautentiserad fjärrkörning av kod kunde ha startat så tidigt som den 1 december.
“De tidigaste bevisen vi hittills har hittat för #Log4J-exploatering är 2021-12-01 04:36:50 UTC,” sa Cloudflares vd Matthew Prince på Twitter.
“Det tyder på att den var i naturen minst 9 dagar innan den offentliggjordes. Se dock inte bevis på massexploatering förrän efter offentliggörandet.”
Cisco Talos sa i ett blogginlägg att de observerade aktivitet för sårbarheten känd som CVE-2021-44228 från den 2 december, och de som letar efter indikatorer på kompromiss bör utöka sina sökningar till åtminstone så långt tillbaka.
Tack vare det påverkade bibliotekets överallt, sa Talos att det såg ledtid från angripare som gjorde massskanning till återuppringningar, och att det kan bero på sårbara men icke-riktade system – såsom SIEM:er och loggar samlare — utlöses av utnyttjandet.
Den tillade att Mirai-botnätet började använda sårbarheten. Forskare vid Netlab 360 sa att de hade sett log4j-sårbarheten som användes för att skapa Muhstik- och Mirai-botnät som gick efter Linux-enheter.
Under helgen har leverantörer rusat för att få ut patchar och dokumentera lösningar för berörda produkter. Slutresultaten har varit produktmatriser som de från VMware och Cisco där vissa produkter har patchar tillgängliga, vissa har lösningar och andra förblir sårbara. Båda leverantörerna fick CVE-2021-44228 som en perfekt 10.
De föreslagna lösningarna anger vanligtvis antingen log4j2.formatMsgNoLookups-flaggan till true eller tar bort klassen JndiLookup från klasssökvägen som används av Java.
Ett Reddit-inlägg från NCC Group uppdateras regelbundet och visar hur exploateringen kan användas för att exfiltrera AWS-hemligheter, såväl som alla slags Java-systemegenskaper.
En säkerhetsforskare kunde utlösa exploateringen genom att använda Little Bobby Tables på sitt iPhone-namn.
Sophos sa att de såg sårbarheten som redan används av kryptominerare.
På den roligare fronten kunde en Minecraft-modutvecklare använda sårbarheten för att förvandla en Minecraft-server till en som spelade Doom istället.
“För vissa sammanhang är detta en helt vaniljklient som ansluter till en moddad server, som genom denna exploatering skickar över och exekverar koden för att köra doom,” sa Gegy.
Microsofts hotanalytiker Kevin Beaumont sa att djupförsvar var “förmodligen ditt bästa alternativ”.
“För att ge en spoiler för Log4Shell, kommer detta att ta veckor att spela ut för att etablera attackytan (den är stor) och sedan kanske en månad eller mer för patchar att göras tillgängliga,” sa han .
Relaterad täckning
Säkerhetsvarning: Ny nolldag i Log4j Java-biblioteket utnyttjas redanHackare döljer sin skadliga JavaScript-kod med ett svårslaget trickVolvo tillkännager att några FoU-filer stulits under cyberattackBrasiliens hälsoministerium drabbas av cyberattack och covid-19-vaccinationsdata försvinner. Utvecklare | Säkerhets-TV | Datahantering | CXO | Datacenter