Liam Tung Bidragsyter
Liam Tung er en australsk forretningsteknologijournalist som bor noen for mange svenske mil nord for Stockholm for hans smak. Han tok en bachelorgrad i økonomi og kunst (kulturstudier) ved Sydneys Macquarie University, men hacket seg (uten norrønt eller ondsinnet kode for den saks skyld) seg inn i en karriere som enterprise tech-, sikkerhets- og telekommunikasjonsjournalist hos ZDNet Australia.
Full bio 15. desember 2021 | Emne: Sikkerhet 
Statsstøttede hackere fra Kina, Iran, Nord-Korea og Tyrkia har begynt å teste, utnytte og bruke Log4j-feilen for å distribuere skadelig programvare, inkludert løsepengevare, ifølge Microsoft.
Som spådd av tjenestemenn ved US Cybersecurity and Infrastructure Security Agency (CISA), har mer sofistikerte angripere nå begynt å utnytte den såkalte Log4Shell-feilen (CVE-2021-44228), som påvirker enheter og applikasjoner som kjører sårbare versjoner av Log4j Java-biblioteket. Det er en kraftig feil som lar eksterne angripere overta en enhet etter kompromittering.
CISA-tjenestemenn advarte tirsdag om at hundrevis av millioner av bedrifts- og forbrukerenheter er i fare inntil feilen er rettet.
LOG4J-FEILDEKNING – DET DU TRENGER Å VITE NÅ
USA advarer Log4j-feilen setter hundrevis av millioner enheter i fare
Log4j-feil: Angripere gjør tusenvis av forsøk på å utnytte denne alvorlige sårbarheten
Log4j RCE-aktivitet begynte 1. desember da botnett begynner å bruke sårbarhet
< /strong>
Hovedtyngden av angrepene som Microsoft har observert så langt, har vært relatert til masseskanning fra angripere som forsøker å trykke tommelfinger av sårbare systemer, samt skanning fra sikkerhetsselskaper og forskere.
“Det store flertallet av observert aktivitet har vært skanning, men utnyttelse og aktiviteter etter utnyttelse har også blitt observert. Basert på sårbarhetens natur, når angriperen har full tilgang og kontroll over en applikasjon, kan de utføre et utall av mål. . Microsoft har observert aktiviteter inkludert installasjon av myntgruvearbeidere, Cobalt Strike for å muliggjøre legitimasjonstyveri og sideveis bevegelse, og eksfiltrering av data fra kompromitterte systemer,” sa Microsoft.
Dens enkle utnyttelse og brede distribusjon av produkter gjør det til en attraktivt mål for sofistikerte kriminelle og statsstøttede angripere.
Det er denne sistnevnte gruppen som nå har begynt å utnytte feilen.
“Denne aktiviteten spenner fra eksperimentering under utvikling, integrering av sårbarheten til utplassering av nyttelast i naturen, og utnyttelse mot mål for å nå aktørens mål,” sa Microsoft.
Microsoft har rettet søkelyset mot Den iranske hackergruppen spores som Phosphorous, som nylig økte bruken av filkrypteringsverktøy for å distribuere løsepengeprogramvare på mål. Gruppen har anskaffet og modifisert Log4j-utnyttelsen for bruk, ifølge Microsoft Threat Intelligence Center (MSTIC).
“Vi vurderer at Phosphorus har operasjonalisert disse modifikasjonene,” bemerker MSTIC.
Hafnium, en Beijing-støttet hackergruppe bak årets Exchange Server-feil, har også brukt Log4Shell for å “målrette virtualiseringsinfrastruktur for å utvide deres typiske målretting.”
Microsoft så at systemene brukt av Hafnium brukte et domenenavn Server (DNS) tjeneste til fingeravtrykksystemer.
Log4Shell-feilen ble avslørt av Apache Software Foundation 9. desember. CERT New Zealand rapporterte at feilen ble aktivt utnyttet. Apache ga ut en patch forrige uke. Imidlertid må leverandører, inkludert Cisco, IBM, Oracle, VMware og andre, fortsatt integrere oppdateringen i sine egne berørte produkter før kundene kan distribuere dem.
MSTIC og Microsoft 365 Defender-teamet bekreftet også at “tilgangsmeglere” – gjenger som selger eller leier tilgang til kompromitterte maskiner – har brukt Log4j-feilen for å få fotfeste i målnettverk på både Linux- og Windows-systemer. Denne typen tilgang selges ofte videre til ransomware-gjenger som leter etter ofre; sikkerhetsfirmaet BitDefender rapporterte at en ny løsepengevarestamme kalt Khonsari allerede prøver å utnytte Log4j-feilen.
CISA publiserte i går sin liste i GitHub over produkter berørt av Log4Shell-feilen, etter en lignende liste fra det nederlandske cybersikkerhetsbyrået (NCSC) publisert tidligere denne uken. CISA viser leverandør, produkt, versjoner, status for sårbarhet og om en oppdatering er tilgjengelig.
LOG4J FEILDEKNING – HVORDAN HOLDE SELSKAPET SIKKERT
Log4j zero-day-feil: Hva du trenger å vite og hvordan du beskytter deg selv
Sikkerhetsadvarsel: Ny zero-day i Log4j Java-biblioteket blir allerede utnyttet
Log4j-feil kan være et problem for industrielle nettverk «i årene som kommer»< sterk>
Den amerikanske listen vil være et hendig verktøy for organisasjoner når de lapper berørte enheter, spesielt amerikanske føderale byråer som ble beordret av CISA, en enhet ved Department of Homeland Security, i går for å teste hvilke interne applikasjoner og servere som er sårbare for feilen av 24. desember
Cisco-kunder vil ha det travelt i løpet av de neste ukene når det ruller ut patcher. Bare å se på for eksempel Ciscos liste over berørte produkter fremhever arbeidet som ligger foran byråteamene som må telle opp berørte systemer i forkant av juleferien. CISAs liste inkluderer også et omfattende utvalg av berørte VMware-virtualiseringsprogramvareverktøy, hvorav de fleste ikke har en patch tilgjengelig ennå.
Dusinvis av Cisco-programvare og nettverksprodukter er berørt. Cisco ga ut en oppdatering for Webex Meetings Server i går. Cisco CX Cloud Agent-programvaren fikk også en oppdatering.
Andre berørte Cisco-produkter uten oppdatering inkluderer Ciscos AMP Virtual Private Cloud Appliance, Advanced Web Security Reporting Application, Firepower Threat Defense (FTD) og Cisco Identity Services Engine (ISE). Flere produkter for administrasjon og levering av nettverksinfrastruktur er også sårbare, med oppdateringer planlagt 21. desember og utover.
Sikkerhet
Log4j zero-day-feil: Hva du trenger å vite og hvordan du kan beskytte deg selv Alle er utbrent. Det begynner å bli et sikkerhetsmareritt. De beste VPN-ene for små og hjemmebaserte bedrifter i 2021. Sjefene er motvillige til å bruke penger på nettsikkerhet. Da blir de hacket. Truffet av løsepengeprogramvare? Ikke gjør denne første åpenbare feilen Security TV | Databehandling | CXO | Datasentre