Danny Palmer Seniorreporter
Danny Palmer är seniorreporter på ZDNet. Baserad i London skriver han om frågor som cybersäkerhet, hacking och skadlig programvara.
Fullständig bio den 16 december 2021 | Ämne: Säkerhet 
Om det någonsin rådde några tvivel om hur allvarlig Log4j-sårbarheten är, så avskaffade direktören för den amerikanska cybersäkerhets- och infrastrukturbyrån CISA, Jen Easterly, omedelbart dessa tvivel när hon beskrev det som “en av de allvarligaste som jag har sett i hela min karriär , om inte det allvarligaste”.
Fredagen den 9 december skakades informationssäkerhetsvärlden av avslöjandet av Log4j (CVE-2021-44228), en nolldagarssårbarhet i det allmänt använda Java-loggningsbiblioteket Apache Log4j, som tillåter angripare att exekvera kod på distans och få åtkomst till maskiner.
Inte nog med att sårbarheten är relativt enkel att dra nytta av, den allestädes närvarande karaktären hos Log4j innebär att den är inbäddad i ett stort antal applikationer, tjänster och företagsprogramvaruverktyg som är skrivna i Java – och används av organisationer och individer runt om i världen.< /p>
LOG4J-FEL TÄCKNING – VAD DU BEHÖVER VETA NU
USA varnar Log4j-felet utsätter hundratals miljoner enheter i fara
Log4j-fel: Angripare är gör tusentals försök att utnyttja denna allvarliga sårbarhet
Log4j RCE-aktivitet började den 1 december när botnät börjar använda sårbarhet
Det betyder att efter ett långt och ansträngande år finner teknisk personal att de försöker fixa ännu en kritisk sårbarhet.
Ännu värre, i fallet med Log4j kan det vara extremt svårt för även säkerhetspersonal att förstå om denna kod är en del av deras applikationer och därmed en potentiell risk. Liksom mycket programvara med öppen källkod är den inbyggd i leveranskedjan. Många leverantörer försöker fortfarande ta reda på om deras produkter påverkas.
Det är därför som vissa har liknat Log4j med Heartbleed, en sårbarhet i SSL som påverkade många stora webbplatser och tjänster, men som också var svår att upptäcka och hantera. Liksom Heartbleed, vars konsekvenser har fortsatt att utspela sig i flera år, finns det redan en rädsla för att Log4j-sårbarheter kan vara ett långsiktigt problem.
Inte för att hackare har väntat ett ögonblick innan de försöker dra fördel av en nyligen avslöjad sårbarhet, naturligtvis.
Inom bara några timmar fanns det redan ett stort antal försök att utnyttja Log4j-sårbarheter. Dessutom har den skadliga aktiviteten som spåras bara fortsatt att öka – ett cybersäkerhetsföretag säger att det tog bara dagar för angripare att rikta sig mot nästan hälften av företagens nätverk.
Några av de första nyttolasterna som tappades var kryptominerare – skadlig programvara som använder processorkraften hos den infekterade enheten för att bryta efter kryptovaluta.
Men mycket farligare hot följde snart. Dessa inkluderade exempel på att penetrationstestverktyget Cobalt Strike installerades – något som vanligtvis används av angripare för att stjäla användarnamn och lösenord som är nödvändiga för att flytta runt i nätverk.
Detta följdes av rapporter om ransomware som utnyttjar Log4j. Ta Khonsari, som är en otroligt grundläggande form av ransomware, men ransomware-grupper är snabba med att använda alla tekniker som ökar chanserna att kompromissa med nätverk och framgångsrikt kräva en lösen, vilket innebär att fler ransomware-attacker med Log4j sannolikt kommer att följa.
< p>Sedan kom de nationalstatsstödda hackargrupperna som ville utnyttja sårbarheten – som de hade med SolarWinds och Microsoft Exchange. Hackingoperationer som utgår från Kina, Iran, Nordkorea och Turkiet har upptäckts som försökte utnyttja Log4j – och de kommer att fortsätta att göra dessa åtgärder så länge de kan.
Arbetet med att reparera skadorna har redan påbörjats. CISA har beordrat att federala myndigheter måste korrigera Log4j-sårbarheten inom några dagar. Men för alla andra kan processen ta år och det kommer att finnas många tillfällen där, trots de kritiska sårbarheterna, vissa system aldrig kommer att få korrigeringen.
Titta bara på EternalBlue, katalysatorn bakom WannaCry och NotPetya 2017, som fortfarande regelbundet är en av de mest utnyttjade sårbarheterna och år senare fortfarande används av cyberbrottslingar för att starta attacker.
I slutändan, så länge det finns system som är i riskzonen från Log4j-sårbarheten, kommer det att finnas cyberbrottslingar eller nationalstatsstödda hackare där ute som kommer att försöka dra fördel.
Och även om en hög- profilorganisationen har intrycket att den är skyddad mot sårbarheten, det finns en möjlighet att angripare kan äventyra en leverantör som inte hanterar sin IT lika noggrant. Brottslingar kan sedan utnyttja den luckan som en inkörsport till det större, mer lukrativa målet.
LOG4J-FEL TÄCKNING – HUR DU HÅLLER DITT FÖRETAG SÄKERT
Log4j zero-day-fel: Vad du behöver veta och hur du skyddar dig
Säkerhetsvarning: Ny zero-day i Log4j Java-biblioteket utnyttjas redan
Log4j-fel kan vara ett problem för industriella nätverk “i många år framöver”< stark>
Det är i slutändan en egenhet med hur internet fungerar att så mycket skada potentiellt kan komma från ett projekt med öppen källkod, som drivs och hanteras på frivillig basis. Internet är en avgörande del av vår vardag, men fall som denna Log4j-sårbarhet visar hur sårbart det kan vara.
Vissa experter kommer att efterlysa fler regler och förordningar om hur internet och datorer i slutändan fungerar och passar in. tillsammans. Det skulle vara en svår konversation, särskilt med tanke på hur så mycket av infrastrukturen som hjälpte till att göra internet till vad det är idag i slutändan är byggt av passionsprojekt och volontärprojekt.
Cybersäkerhetsproffs var redan utbränd efter några svåra år. En annan stor cybersäkerhetshändelse inför jul kommer inte att ha hjälpt någonting.
Tyvärr kommer Log4j sannolikt att förbli ett problem till och med 2022 och därefter – vi skrapar förmodligen bara på ytan av risken och hacka kampanjer som kommer att försöka utnyttja denna sårbarhet.
Det bästa organisationer kan göra för tillfället är att följa expertråden och tillämpa uppdateringar för att mildra den potentiella skadan – och sedan hoppas att liknande sårbarheter gör det inte dyka upp någon annanstans när som helst snart för att orsaka mer skada och mer utbrändhet.
Säkerhet
Log4j-hot: Vad du behöver veta och hur du skyddar dig själv Ransomware 2022: We' re all screwed Microsoft Patch Tuesday: Zero-day utnyttjad för att sprida Emotet malware Kronos drabbades av ransomware, varnar för dataintrång och “flera veckors” avbrott De bästa VPN:erna för små och hembaserade företag 2021 Security TV | Datahantering | CXO | Datacenter