Liam Tung Contributor
Liam Tung är en australisk affärsteknikjournalist som bor några för många svenska mil norr om Stockholm för sin smak. Han tog en kandidatexamen i ekonomi och konst (kulturstudier) vid Sydneys Macquarie University, men hackade sig (utan norrön eller skadlig kod för den delen) in i en karriär som företagsteknik-, säkerhets- och telekommunikationsjournalist med ZDNet Australia.
Fullständig bio den 15 december 2021 | Ämne: Säkerhet 
Statssponsrade hackare från Kina, Iran, Nordkorea och Turkiet har börjat testa, utnyttja och använda Log4j-felet för att distribuera skadlig programvara, inklusive ransomware, enligt Microsoft.
Som förutspått av tjänstemän vid US Cybersecurity and Infrastructure Security Agency (CISA), har mer sofistikerade angripare nu börjat utnyttja den så kallade Log4Shell-buggen (CVE-2021-44228), som påverkar enheter och applikationer som körs sårbara versioner av Log4j Java-biblioteket. Det är ett potent fel som gör att fjärrangripare kan ta över en enhet efter kompromisser.
CISA-tjänstemän varnade på tisdagen för att hundratals miljoner företags- och konsumentenheter är i riskzonen tills felet är åtgärdat.
LOG4J-FELSTÄCKNING – VAD DU BEHÖVER VETA NU
USA varnar Log4j-felet utsätter hundratals miljoner enheter i fara
Log4j-fel: Angripare gör tusentals försök att utnyttja denna allvarliga sårbarhet
Log4j RCE-aktivitet började den 1 december när botnät börjar använda sårbarhet
< /strong>
Merparten av attackerna som Microsoft hittills har observerat har varit relaterade till massskanning av angripare som försöker göra tumavtryck av sårbara system, samt skanning av säkerhetsföretag och forskare.
“Den stora majoriteten av den observerade aktiviteten har varit skanning, men exploatering och aktiviteter efter exploatering har också observerats. Baserat på sårbarhetens natur, när angriparen har full åtkomst och kontroll över en applikation, kan de utföra en myriad av mål . Microsoft har observerat aktiviteter inklusive installation av myntgruvarbetare, Cobalt Strike för att möjliggöra stöld och sidoförflyttning samt exfiltrering av data från komprometterade system,” sa Microsoft.
Dess enkla exploatering och breda distribution av produkter gör det till en attraktivt mål för sofistikerade kriminella och statligt sponsrade angripare.
Det är denna senare grupp som nu har börjat utnyttja bristen.
“Denna aktivitet sträcker sig från experiment under utveckling, integrering av sårbarheten till utplacering av nyttolast i naturen och exploatering mot mål för att uppnå skådespelarens mål,” sa Microsoft.
Microsoft har riktat rampljuset på Den iranska hackergruppen spåras som fosfor, som nyligen ökade sin användning av filkrypteringsverktyg för att distribuera ransomware på mål. Gruppen har förvärvat och modifierat log4j-exploatet för användning, enligt Microsoft Threat Intelligence Center (MSTIC).
“Vi bedömer att Phosphorus har operationaliserat dessa modifieringar”, noterar MSTIC.
Hafnium, en Peking-stödd hackargrupp bakom årets Exchange Server-brister, har också använt Log4Shell för att “inrikta sig på virtualiseringsinfrastruktur för att utöka sin typiska inriktning.”
Microsoft såg att systemen som används av Hafnium använder ett domännamn Server (DNS) tjänst till fingeravtryckssystem.
Log4Shell-felet avslöjades av Apache Software Foundation den 9 december. CERT New Zealand rapporterade att felet aktivt utnyttjades. Apache släppte en patch förra veckan. Men leverantörer inklusive Cisco, IBM, Oracle, VMware och andra måste fortfarande integrera patchen i sina egna berörda produkter innan kunderna kan distribuera dem.
MSTIC och Microsoft 365 Defender-teamet bekräftade också att “åtkomstmäklare” – gäng som säljer eller hyr åtkomst till komprometterade maskiner – har använt Log4j-felet för att få fotfäste i målnätverk på både Linux- och Windows-system. Den här typen av åtkomst säljs ofta vidare till ransomware-gäng som letar efter offer; säkerhetsföretaget BitDefender rapporterade att en ny ransomware-stam som heter Khonsari redan försöker utnyttja Log4j-felet.
CISA publicerade igår sin lista i GitHub över produkter som påverkas av Log4Shell-felet, efter en liknande lista från den nederländska cybersäkerhetsbyrån (NCSC) som publicerades tidigare i veckan. CISA listar leverantören, produkten, versionerna, statusen för sårbarheten och om en uppdatering är tillgänglig.
LOG4J FEL TÄCKNING – HUR DU HÅLLER DITT FÖRETAG SÄKERT
Log4j zero-day-fel: Vad du behöver veta och hur du skyddar dig
Säkerhetsvarning: Ny zero-day i Log4j Java-biblioteket utnyttjas redan
Log4j-fel kan vara ett problem för industriella nätverk “i många år framöver”< stark>
Den amerikanska listan kommer att vara ett praktiskt verktyg för organisationer när de korrigerar drabbade enheter, särskilt amerikanska federala myndigheter som beordrades av CISA, en enhet vid Department of Homeland Security, igår för att testa vilka interna applikationer och servrar som är sårbara för buggen av 24 december
Cisco-kunder kommer att vara upptagna under de närmaste veckorna när det rullar ut patchar. Bara att titta på till exempel Ciscos lista över berörda produkter belyser det arbete som ligger framför byråteamen som måste räkna upp berörda system inför juluppehållet. CISA:s lista innehåller också ett omfattande utbud av berörda VMware-virtualiseringsprogramvaruverktyg, av vilka de flesta ännu inte har en patch tillgänglig.
Dusintals Cisco-programvara och nätverksprodukter påverkas. Cisco släppte en patch för Webex Meetings Server igår. Cisco CX Cloud Agent Software fick också en patch.
Andra berörda Cisco-produkter utan patch inkluderar Ciscos AMP Virtual Private Cloud Appliance, dess Advanced Web Security Reporting Application, Firepower Threat Defense (FTD) och Cisco Identity Services Engine (ISE). Flera produkter för hantering och tillhandahållande av nätverksinfrastruktur är också sårbara, med patchar planerade till den 21 december och framåt.
Säkerhet
Log4j zero-day-fel: Vad du behöver veta och hur du skyddar dig själv Alla är utbrända. Det håller på att bli en säkerhetsmardröm De bästa VPN:erna för små och hembaserade företag 2021. Chefer är ovilliga att spendera pengar på cybersäkerhet. Då blir de hackade Hit av ransomware? Gör inte detta första uppenbara misstag Security TV | Datahantering | CXO | Datacenter