Jonathan Greig är journalist baserad i New York City.
Fullständig bio den 15 december 2021 | Ämne: Cyberhot
Medan nedfallet från Log4j-sårbarheten fortsätter diskuterar cybersäkerhetsexperter vad framtiden kan komma att erbjuda.
Tom Kellermann, VMwares chef för cybersäkerhetsstrategi, sa att Log4j-sårbarheten är en av de värsta sårbarheterna han har sett i sin karriär – och en av de mest betydande sårbarheterna som någonsin har avslöjats.
Log4j, ett Java-bibliotek för att logga felmeddelanden i applikationer, utvecklades av Apache Software Foundation. Kellermann kallade Apache “ett av de gigantiska stöden för bron mellan världens applikationer och datormiljöer”, och tillade att utnyttjandet av Log4j kommer att “destabilisera det stödet och… destabilisera den digitala infrastrukturen som har byggts ovanpå det.”
Men hans största oro är att någon ytterligare beväpnar sårbarheten genom att skapa en mask, som Kellermann beskrev som en polymorf typ av skadlig programvara som i huvudsak kan spridas på egen hand.
“En av de mest betydande [maskarna] från början av 2000-talet var Code Red,” sa Kellermann till ZDNet. “Vi har inte sett en sådan utbredd global påverkan sedan dess. Om denna sårbarhet skulle beväpnas av någon av cybergemenskaperna – oavsett om det är underrättelsetjänster, en av de fyra stora oseriösa makterna inom cyber, eller en av de stora karteller om cyberbrott — det är då saker och ting blir mer intressanta.”
Möjligheten av en mask har genererat betydande samtal i cybersäkerhetsgemenskapen. Cybersäkerhetsexperten Marcus Hutchins kallade rädslan för en mask “överblåst” i flera Twitter-trådar.
“För det första finns det redan massexploatering (du kan spraya hela internet från en server). För det andra tar maskar tid och skicklighet att utveckla, men de flesta angripare tävlar mot klockan (lappar och andra angripare) “, skrev Hutchins på Twitter.
Han tillade att “en mask skulle behöva en ny utnyttjandeteknik för att få något verkligt värde över skanning”,
I en annan tråd skrev Hutchins att 2017 års WannaCry ransomware-attack “gav människor en överdriven känsla av hotet från maskar”, och tillade att maskar “inte är ett värsta scenario (eller ens ett värre scenario) för de flesta utnyttjande.”
“Det är inte ett fall av att det finns en exploatering så det kommer att finnas en mask (vi såg aldrig maskar för någon av de senaste maskbara RCE:erna och även om vi hade skulle det inte vara värre än vanlig exploatering). WannaCry skrevs av Nordkorea, använder en NSA-exploatering, stulen av Ryssland. Inte normen”, förklarade Hutchins.
Steve Povolny, chef för avancerad hotforskning för McAfee Enterprise och FireEye, sa till ZDNet att hans största oro handlar om “maskbarhet”, och tillade att han inte kunde “tänka på ett värre scenario för Log4j-utnyttjningar än skadliga kod som kan replikera och sprida sig själv med otrolig hastighet, och leverera ransomware-nyttolaster.”
Povolny sa att maskar som WannaCry visade den typ av inverkan som cybersäkerhetsexperter kunde förvänta sig, och noterade att även WannaCry-exemplet avbröts från sin verkliga potential för spridning och störningar på grund av en “kill switch.”
“Vi Jag kan inte hoppas på att ha lika tur den här gången – det är inte en fråga om, det är en fråga om när detta kommer att hända. Organisationer av alla storlekar måste genomgå en aggressiv spanings- och lappningsstrategi medan det fortfarande finns tid, säger Povolny. .
“Om du någonsin sett TV-programmet “The Amazing Race”, verkar det nu blekna i jämförelse med det globala loppet som äger rum till följd av Log4Shell [sårbarhetens smeknamn]. Även som tusentals organisationer över hela världen fortsätter att söka efter och korrigera denna exceptionella sårbarhet, hotaktörer arbetar i en rasande takt för att beväpna och ytterligare förfina utnyttjandet av bristen.”
Andra, som BreachQuest CTO Jake Williams, sa att även om det är säkert att någon kommer att skapa en mask som missbrukar Log4Shell, är det osannolikt att det är som WannaCry, NotPetya eller tidigare maskar som missbrukar processer på systemnivå .
IT-prioriteringar