Peter Membrey, chefarkitekt for ExpressVPN, husker tydeligt at have set nyheden om Log4j-sårbarheden bryde online.
“Så snart jeg så, hvordan du kunne udnytte det, det var rædselsvækkende,” siger Membrey. “Som en af de katastrofefilm, hvor der er et atomkraftværk, finder de ud af, at det vil smelte ned, men de kan ikke stoppe det. Du ved, hvad der kommer, men der er meget begrænsede ting, du kan gøre.”
Siden sårbarheden blev afsløret i sidste uge, er cybersikkerhedsverdenen sat i overdrev for at identificere sårbare applikationer, opdage potentielle angreb og afbøde mod udnyttelser, hvor det end er muligt. Ikke desto mindre er seriøse hacks, der gør brug af udnyttelsen, næsten sikre.
“Så snart jeg så, hvordan du kunne udnytte det, var det rædselsfuldt”
Indtil videre har forskere observeret angribere, der bruger Log4j-sårbarheden til at installere ransomware på honeypot-servere – maskiner, der er gjort bevidst sårbare med det formål at spore nye trusler. Et cybersikkerhedsfirma rapporterede, at næsten halvdelen af virksomhedens netværk, som det overvågede, havde set forsøg på at udnytte sårbarheden. Den administrerende direktør for Cloudflare, en udbyder af websteder og netværkssikkerhed, meddelte tidligt, at truslen var så slem, at virksomheden ville udrulle firewallbeskyttelse til alle kunder, inklusive dem, der ikke havde betalt for det. Men konkrete nyheder om udnyttelse i naturen er stadig sparsomme, sandsynligvis fordi ofrene enten ikke ved eller endnu ikke ønsker at anerkende offentligt, at deres systemer er blevet brudt.
Hvad man med sikkerhed ved er, at omfanget af sårbarheden er enormt. En liste over berørt software, der er udarbejdet af Cybersecurity and Infrastructure Security Agency (CISA) – og begrænset til kun virksomhedssoftwareplatforme – løber til mere end 500 emner på pressetidspunktet. En liste over alle berørte applikationer ville uden tvivl løbe op i mange tusinde mere.
Nogle navne på listen vil være velkendte for offentligheden (Amazon, IBM, Microsoft), men nogle af de mest alarmerende problemer er kommet med software, der bliver bag kulisserne. Producenter som Broadcom, Red Hat og VMware laver software, som virksomhedskunder bygger virksomheder ovenpå, og effektivt distribuerer sårbarheden på et kerneinfrastrukturniveau i mange virksomheder. Dette gør processen med at fange og eliminere sårbarheder endnu sværere, selv efter at en patch til det berørte bibliotek er blevet frigivet.
Selv efter standarderne for højprofilerede sårbarheder er Log4Shell rammer en usædvanlig stor del af internettet. Det er en afspejling af det faktum, at Java-programmeringssproget bruges meget i virksomhedssoftware, og for Java-software er Log4j-biblioteket overordentlig almindeligt.
“Jeg kørte forespørgsler i vores database for at se hver eneste kunde, der brugte Log4j i nogen af deres applikationer,” siger Jeremy Katz, medstifter af Tidelift, en virksomhed, der hjælper andre organisationer med at håndtere open source softwareafhængigheder. “Og svaret var: hver eneste af dem, der har nogen programmer skrevet i Java.”
Opdagelsen af en let udnyttelig fejl fundet i et hovedsagelig virksomhedsfokuseret sprog er en del af det, analytikere har kaldt en “næsten perfekt storm” omkring Log4j-sårbarheden. Enhver virksomhed kunne bruge adskillige programmer, der indeholder det sårbare bibliotek – i nogle tilfælde med flere versioner i en applikation.
“Java har eksisteret i så mange år, og det er så tungt bruges inden for virksomheder, især store,” siger Cloudflare CTO John Graham-Cumming. “Dette er et stort øjeblik for folk, der administrerer software inden for virksomheder, og de vil gennemgå opdateringer og begrænsninger så hurtigt som de kan.”
“Jeg kørte forespørgsler i vores database for at se hver kunde, der brugte Log4j. Svaret var: Hver eneste af dem, der har applikationer skrevet i Java”
Gennem omstændighederne taget i betragtning, er “så hurtigt de kan” et meget subjektivt udtryk. Softwareopdateringer til organisationer som banker, hospitaler eller offentlige myndigheder udføres generelt på skalaen af uger og måneder, ikke dage; typisk kræver opdateringer adskillige niveauer af udvikling, autorisation og test, før de kommer ind i en live-applikation.
I mellemtiden udgør begrænsninger, der hurtigt kan skubbes ud, et afgørende mellemtrin, der køber værdifuld tid, mens store og små virksomheder kæmper for at identificere sårbarheder og implementere opdateringer. Det er her, rettelser på netværkslaget har en nøglerolle at spille: Da malware-programmer kommunikerer med deres operatører over internettet, kan foranstaltninger, der begrænser indgående og udgående webtrafik, være et stop for at begrænse virkningerne af udnyttelsen.
< p id="dtxSmV">Cloudflare var en organisation, der bevægede sig hurtigt, forklarede Graham-Cumming, og tilføjede nye regler for sin firewall, der blokerede HTTP-anmodninger, der indeholdt strenge, der er karakteristiske for Log4j-angrebskoden. ExpressVPN modificerede også sit produkt for at beskytte mod Log4Shell og opdaterede VPN-regler for automatisk at blokere al udgående trafik på porte, der bruges af LDAP – en protokol, som udnytteren bruger til at hente ressourcer fra eksterne URL'er og downloade dem til en sårbar maskine.
< p id="oONfBq">“Hvis en kunde bliver inficeret, har vi allerede set scannere som en ondsindet nyttelast, så de kan begynde at scanne internettet og inficere andre mennesker,” siger Membrey. “Vi ønskede at sætte et loft over det, ikke kun for vores kunders skyld, men for alle andres skyld – lidt ligesom med Covid og vacciner.”
“Sofistikerede angribere vil udnytte sårbarheden, etablere en persistensmekanisme og så gå i mørke”
Disse ændringer sker typisk hurtigere, fordi de finder sted på servere, der tilhører firewall- eller VPN-virksomhederne og kræver lidt (hvis nogen) handling fra slutbrugeren. Med andre ord kunne en forældet softwareapplikation stadig modtage et anstændigt beskyttelsesniveau fra en opdateret VPN – selvom det ikke er en erstatning for korrekt patching.
Desværre taget seriøsiteten i betragtning af sårbarheden vil nogle systemer blive kompromitteret, selv med hurtige rettelser implementeret. Og der kan gå lang tid – endda år – før virkningerne mærkes fuldt ud.
“Sofistikerede angribere vil udnytte sårbarheden, etablere en persistensmekanisme og derefter gå i mørke,” siger Daniel Clayton, vicepræsident for globale cybersikkerhedstjenester hos Bitdefender. “Om to år vil vi høre om store brud og så efterfølgende erfare, at de blev brudt for to år siden.”
Fejlen i Log4j fremhæver endnu en gang nødvendigheden og udfordringen med at finansiere open source-projekter på passende vis. (En enorm mængde teknisk infrastruktur kan lige så godt afhænge af “et projekt, som en tilfældig person i Nebraska utrætteligt har vedligeholdt siden 2003,” som en evig relevant XKCD-tegneserie forklarer.) Bloomberg rapporterede tidligere på ugen, at mange af udviklerne involveret i kapløb om at udvikle en patch til Log4j-biblioteket var ulønnede frivillige, på trods af den globale brug af softwaren i virksomhedsapplikationer.
En af de sidste sårbarheder til at rocke internettet, Heartbleed, var på samme måde forårsaget af en fejl i et meget brugt open source-bibliotek, OpenSSL. Efter denne fejl forpligtede teknologivirksomheder som Google, Microsoft og Facebook sig til at lægge flere penge i open source-projekter, der var kritiske for internetinfrastrukturen. Men i kølvandet på Log4j-nedfaldet er det klart, at styring af afhængigheder fortsat er et alvorligt sikkerhedsproblem – og et vi ikke er tæt på at løse.
“Når man ser på de fleste af de store hacks, der er sket gennem årene, er det normalt ikke noget virkelig sofistikeret, der fortryder store virksomheder,” siger Clayton. “Det er noget, der ikke er blevet rettet.”