Jonathan Greig er en journalist basert i New York City.
Full Bio 13. desember 2021 | Emne: Sikkerhet
Eksperter på nettsikkerhet mener CVE-2021-44228, en feil ved ekstern kjøring av kode i Log4j, vil ta måneder, om ikke år, å løse på grunn av dens allestedsnærværende og enkle utnyttelse.
Steve Povolny, leder for avansert trusselforskning for McAfee Enterprise og FireEye, sa Log4Shell “nå hører hjemme i den samme samtalen som Shellshock, Heartbleed og EternalBlue.”
“Angripere begynte med nesten umiddelbart å utnytte feilen for ulovlig kryptogruvedrift, eller bruke legitime dataressurser på Internett for å generere kryptovaluta for økonomisk fortjeneste… Ytterligere utnyttelse ser ut til å ha dreid seg mot tyveri av privat informasjon,” sa Povolny til ZDNet.
“Vi forventer fullt ut å se en utvikling av angrep.”
Også: Log4j zero-day-feil: Hva du trenger å vite og hvordan du beskytt deg selv
Povolny la til at sårbarhetens innvirkning kan være enorm fordi den er “ormelig og kan bygges for å spre seg selv.” Selv med en oppdatering tilgjengelig, finnes det dusinvis av versjoner av den sårbare komponenten.
På grunn av det store antallet observerte angrep allerede, sa Povolny at det var “trygt å anta at mange organisasjoner allerede har blitt brutt” og vil måtte iverksette tiltak mot hendelser.
“Vi tror log4shell-utnyttelsene vil vedvare i måneder om ikke år framover, med en betydelig nedgang i løpet av de neste dagene og ukene etter hvert som patcher blir stadig mer rullet ut,” sa Povolny.
Siden 9. desember sa Sophos senior trusselforsker Sean Gallagher at angrepene ved bruk av sårbarheten utviklet seg fra forsøk på å installere myntgruvearbeidere – inkludert Kinsing miner-botnettet – til mer sofistikert innsats.
“Den siste etterretningen antyder angripere prøver å utnytte sårbarheten for å avsløre nøklene som brukes av Amazon Web Service-kontoer. Det er også tegn på angripere som prøver å utnytte sårbarheten for å installere fjerntilgangsverktøy i offernettverk, muligens Cobalt Strike, et nøkkelverktøy i mange løsepenge-angrep, ” sa Gallagher.
Paul Ducklin, hovedforsker ved Sophos, la til at teknologier, inkludert IPS, WAF og intelligent nettverksfiltrering, alle “hjelper med å bringe denne globale sårbarheten under kontroll.”
“Det aller beste svaret er helt klart: lapp eller reduser dine egne systemer akkurat nå,” sa Ducklin.
Dr. Richard Ford, CTO hos Praetorian, forklarte at fordi utnyttelse av sårbarheten ofte ikke krever autentisering eller spesiell tilgang, har det avslørt en utrolig rekke systemer.
“Det er til og med ubekreftede rapporter om at det å endre telefonens navn til en bestemt streng kan utnytte noen online systemer,” sa Ford.
Ford og selskapets ingeniører sa at det er “en av de største eksponeringene [de] har sett på internettskala.”
Også: Log4j RCE-aktivitet begynte 1. desember da botnett begynte å bruke sårbarhet
Andre eksperter som brukte helgen på å se på sårbarheten sa at hackere begynte å jobbe nesten umiddelbart med å utnytte feilen. Chris Evans, CISO hos HackerOne, sa at de har mottatt 692 rapporter om Log4j til 249 kundeprogrammer, og la merke til at store selskaper som Apple, Amazon, Twitter og Cloudflare alle har bekreftet at de var sårbare.
“Denne sårbarheten er skummel av flere grunner: For det første er det veldig enkelt å utnytte; alt angriperen trenger å gjøre er å lime inn spesiell tekst i ulike deler av et program og vente på resultater. For det andre er det vanskelig å vite hva som er og er ikke berørt; sårbarheten er i et kjernebibliotek som er buntet med mange andre programvarepakker, noe som også gjør utbedring mer komplisert. For det tredje er det sannsynlig at mange av tredjepartsleverandørene dine er berørt,” sa Evans.
Imperva CTO Kunal Anand sa at siden utrullingen av oppdaterte sikkerhetsregler for mer enn 13 timer siden, har selskapet observert mer enn 1,4 millioner angrep rettet mot CVE-2021-44228.
“Vi har observert topper som når omtrent 280 000 angrep i timen. Som med andre CVE-er i sin klasse forventer vi å se dette tallet øke, spesielt ettersom nye varianter opprettes og oppdages i løpet av de kommende dagene og ukene “, sa Anand.
Sikkerhet
Log4j-feil: Angripere gjør tusenvis av forsøk på å utnytte denne sårbarheten. Alle er utbrent. Det begynner å bli et sikkerhetsmareritt. De beste VPN-ene for små og hjemmebaserte bedrifter i 2021. Sjefene er motvillige til å bruke penger på nettsikkerhet. Så blir de hacket. Truffet av løsepengeprogramvare? Ikke gjør denne første åpenbare feilen Regjeringen | Sikkerhets-TV | Databehandling | CXO | Datasentre