Danny Palmer Seniorreporter
Danny Palmer er seniorreporter hos ZDNet. Basert i London, skriver han om problemer inkludert nettsikkerhet, hacking og trusler mot skadelig programvare.
Full bio 16. desember 2021 | Emne: Sikkerhet 
Hvis det noen gang har vært tvil om alvorlighetsgraden av Log4j-sårbarheten, avskaffet direktør for det amerikanske cybersikkerhets- og infrastrukturbyrået CISA, Jen Easterly, denne tvilen umiddelbart da hun beskrev det som “en av de mest alvorlige jeg har sett i hele min karriere” , om ikke den mest alvorlige”.
Fredag 9. desember ble informasjonssikkerhetsverdenen rystet av avsløringen av Log4j (CVE-2021-44228), en null-dagers sårbarhet i det mye brukte Java-loggbiblioteket Apache Log4j, som lar angripere eksternt kjør kode og få tilgang til maskiner.
Ikke bare er sårbarheten relativt enkel å utnytte, den allestedsnærværende naturen til Log4j betyr at den er innebygd i et stort utvalg applikasjoner, tjenester og programvareverktøy for bedrifter som er skrevet i Java – og brukt av organisasjoner og enkeltpersoner over hele verden.< /p>
LOG4J-FEILDEKNING – DET DU TRENGER Å VITE NÅ
USA advarer Log4j-feil setter hundrevis av millioner enheter i fare
Log4j-feil: Angripere er gjør tusenvis av forsøk på å utnytte denne alvorlige sårbarheten
Log4j RCE-aktivitet begynte 1. desember da botnett begynner å bruke sårbarhet
Det betyr at etter et langt og utmattende år finner teknisk personale seg på å prøve å fikse enda en kritisk sårbarhet.
Enda verre, i tilfelle av Log4j kan det være ekstremt vanskelig for selv sikkerhetseksperter å forstå om denne koden er en del av deres applikasjoner og dermed en potensiell risiko. Som mye åpen kildekode-programvare er den innebygd i forsyningskjeden. Mange leverandører prøver fortsatt å finne ut om produktene deres er berørt.
Det er derfor noen har sammenlignet Log4j med Heartbleed, en sårbarhet i SSL som påvirket mange store nettsteder og tjenester, men som også var vanskelig å oppdage og administrere. I likhet med Heartbleed, hvis konsekvenser har fortsatt å utfolde seg i årevis, er det allerede frykt for at Log4j-sårbarheter kan være et langsiktig problem.
Ikke at hackere har ventet et øyeblikk før de forsøker å dra nytte av en nylig avslørt sårbarhet, selvfølgelig.
I løpet av bare noen få timer var det allerede et stort antall forsøk på å utnytte Log4j-sårbarheter. Dessuten har den ondsinnede aktiviteten som spores bare fortsatt å øke – ett cybersikkerhetsselskap sier at det tok bare dager før angripere målrettet mot nesten halvparten av bedriftens nettverk.
Noen av de første nyttelastene som ble droppet var kryptominere – skadelig programvare som bruker prosessorkraften til den infiserte enheten til å gruve etter kryptovaluta.
Men mye farligere trusler fulgte snart. Disse inkluderte forekomster av at penetrasjonstestverktøyet Cobalt Strike ble installert – noe som ofte brukes av angripere for å stjele brukernavn og passord som er nødvendige for å flytte rundt på nettverk.
Dette ble fulgt av rapporter om løsepengeprogramvare som utnytter Log4j. Ta Khonsari, som er en utrolig grunnleggende form for løsepengevare, men løsepengevaregrupper er raske til å ta i bruk alle teknikker som øker sjansene for å kompromittere nettverk og lykkes med å kreve løsepenger, noe som betyr at flere løsepengeangrep som utnytter Log4j sannsynligvis vil følge.
< p>Så kom de nasjonalstatsstøttede hackergruppene som ønsket å utnytte sårbarheten – slik de hadde med SolarWinds og Microsoft Exchange. Hackingoperasjoner fra Kina, Iran, Nord-Korea og Tyrkia ble oppdaget forsøke å utnytte Log4j – og de vil fortsette å gjøre disse grepene så lenge de kan.
Arbeidet med å reparere skadene har allerede startet. CISA har gitt mandat at føderale byråer må lappe Log4j-sårbarheten innen dager. Men for alle andre kan prosessen ta år, og det vil være mange tilfeller der, til tross for de kritiske sårbarhetene, noen systemer aldri vil få oppdateringen.
Bare se på EternalBlue, katalysatoren bak WannaCry og NotPetya i 2017, som fortsatt jevnlig er blant de mest utnyttede sårbarhetene, og år senere fortsatt brukes av nettkriminelle til å starte angrep.
Til syvende og sist, så lenge det er systemer som er utsatt for Log4j-sårbarheten, vil det være nettkriminelle eller nasjonalstatsstøttede hackere der ute som vil se etter å utnytte fordelene.
Og selv om en høy- profilorganisasjonen er under inntrykk av at den er beskyttet mot sårbarheten, det er en mulighet for at angripere kan kompromittere en leverandør som ikke administrerer IT-en sin like grundig. Kriminelle kan da utnytte dette gapet som en inngangsport til det større, mer lukrative målet.
LOG4J FEILDEKNING – HVORDAN HOLDE SELSKAPET DIN SIKKER
Log4j zero-day-feil: Hva du trenger å vite og hvordan du beskytter deg selv
Sikkerhetsadvarsel: Ny zero-day i Log4j Java-biblioteket blir allerede utnyttet
Log4j-feil kan være et problem for industrielle nettverk «i årene som kommer»< sterk>
Det er til syvende og sist et særtrekk ved hvordan internett fungerer at så mye skade potensielt kan komme fra et åpen kildekode-prosjekt, operert og administrert på frivillig basis. Internett er en avgjørende del av hverdagen vår, men tilfeller som denne Log4j-sårbarheten viser hvor sårbart det kan være.
Noen eksperter vil etterlyse flere regler og forskrifter for hvordan internett og datamaskiner til syvende og sist fungerer og passer. sammen. Det ville vært en vanskelig samtale, spesielt med tanke på hvordan så mye av infrastrukturen som bidro til å gjøre internett til det det er i dag, til slutt er bygget fra lidenskapsprosjekter og frivillige ordninger.
Cybersikkerhetsfagfolk var allerede utbrent etter noen vanskelige år. En annen stor cybersikkerhetshendelse i førjulstiden vil ikke ha hjulpet noe.
Dessverre vil Log4j sannsynligvis forbli et problem gjennom 2022 og utover – vi skraper sannsynligvis bare i overflaten av risikoen og hacking-kampanjer som vil forsøke å utnytte denne sårbarheten.
Det beste organisasjoner kan gjøre foreløpig, er å følge ekspertrådene og bruke oppdateringer for å redusere den potensielle skaden – og så håpe at lignende sårbarheter gjør det ikke dukke opp andre steder snart for å forårsake mer skade og mer utbrenthet.
Sikkerhet
Log4j-trussel: Hva du trenger å vite og hvordan du beskytter deg selv Ransomware i 2022: Vi' re all screwed Microsoft Patch Tuesday: Zero-day utnyttet for å spre Emotet malware Kronos rammet med løsepengevare, advarer om datainnbrudd og “flere ukers” utfall De beste VPN-ene for små og hjemmebaserte bedrifter i 2021 Security TV | Databehandling | CXO | Datasentre