Log4j-fejlen har ikke ført til massive hackingangreb. Men det betyder ikke, at truslen er forbi

0
136

Liam TungSkrevet af Liam Tung, bidragyder Liam Tung Liam Tung Bidragyder

Liam Tung er en fuldtids freelance teknologijournalist, som skriver for flere australske publikationer.

Fuld bio den 26. januar 2022 | Emne: Sikkerhed Log4j: Det er slemt, og det vil kun blive værre. Se nu

Log4Shell påvirkede hundredvis af millioner af enheder og blev castet som en kritisk teknisk nødsituation, der ville næsten helt sikkert være udnyttede angribere over hele kloden.

Men en måned efter, at Apache Software Foundation afslørede Log4Shell i deres Log4J-bibliotek den 9. december, sagde det amerikanske Cybersecurity and Infrastructure Security Agency (CISA), at det ikke har set noget større brud opstå fra angrebet, med undtagelse af et angreb på angrebet. det belgiske forsvarsministerium.

Årsagen til den første bekymring var, at den Java-baserede applikationsfejllogningskomponent var indlejret i så mange interne virksomhedsapplikationer og hundredvis af produkter fra VMWare, Oracle, IBM, Cisco og andre.

p>

SE: En vindende strategi for cybersikkerhed (ZDNet-særrapport)

På trods af dette udnytter sårbarheden har været begrænset. For eksempel oplevede sikkerhedsfirmaet Rapid7 en stigning i udnyttelsesforsøg mod VMWares Horizon-servere, og Microsoft observerede også en Kina-baseret dobbeltafpresnings-ransomware-bande NightSky, der var rettet mod sårbare forekomster af Horizon.

På trods af fraværet af øjeblikkelig masseudnyttelse, bakker Sophos securitys Chester Wisniewski op om, at det vil være et mål for udnyttelse i de kommende år.

Microsoft fortsætter med at vurdere Log4j-sårbarhederne som en “højrisikosituation” for virksomheder over hele kloden og vurderer, at der er et stort potentiale for deres udvidede brug. Men indtil videre mener Wisniewski, at en øjeblikkelig krise er blevet afværget.

“[D]en umiddelbare trussel om, at angribere masseudnytter Log4Shell, blev afværget, fordi alvorligheden af ​​fejlen forenede de digitale og sikkerhedsmæssige fællesskaber og satte folk i gang. Dette blev set tilbage i 2000 med Y2K-fejlen, og det ser ud til at have gjort en betydelig forskel her,” siger Wisniewski.

Sophos opdagede en enorm stigning i internetscanningsaktivitet i midten af ​​december – udført af forskere eller trusselsaktører – som forsvandt i slutningen af ​​januar, hvor mest udnyttelse var af crypto coin-mining malware.

Mens Log4Shell er let at udnytte på nogle systemer, er Log4J indlejret i mange applikationer, hvilket gør den faktiske udnyttelse mere udfordrende.

“En anden faktor, der skal tages i betragtning, når man evaluerer scanningsnumrene, er, at en fejl af typen Log4Shell udnyttes forskelligt baseret på, hvilken applikation Log4J-koden er i, og hvordan den er blevet integreret med den applikation. Dette resulterer i en høj mængde redundante scanninger, der prøver forskellige måder at udnytte forskellige applikationer på,” siger Wisniewski.

CISA advarede dog om, at angribere muligvis venter på at bruge adgang opnået gennem Log4Shell, indtil alarmniveauet falder. Det vil sige, at angribere kunne ligge i dvale i et netværk og vente på at implementere malware måneder senere. Wisniewski støtter CISA's advarende holdning.

“Sophos har observeret lande som Iran og Nordkorea angribe VPN-sårbarheder for at få adgang til måls netværk og installere bagdøre, før målene har haft en chance for at implementere patcherne, og derefter vente måneder, før du bruger den adgang i et angreb,” siger han.

Hvad angår varigheden af ​​Log4Shell, regner Wisniewski med internet-vendte applikationer vil blive fundet og patchet eller taget offline. Men det efterlader stadig et væld af internt sårbare systemer, som måske aldrig bliver opdaget, og derfor vil Log4Shell leve videre i årevis som et yndet mål for penetrationstestere og statsstøttede trusselsaktører.

Selv om det ikke var den første store open source-software, der raslede på internettet, førte den til samtaler i januar mellem store tech-aktører og Det Hvide Hus med det formål at finde ud af, hvordan man reagerer på og afværger den næste store åben- kildefejl, især gennemsigtigheden af ​​softwareforsyningskæden.

Sikkerhed

Cybersikkerhed: 11 trin at tage, når trusselsniveauet stiger. Hun stolede ikke på sine flyttemænd. Et enkelt Apple AirTag beviste, at hun havde ret Hvordan teknologi er et våben i moderne misbrug i hjemmet Log4J: Microsoft opdager angribere, der er rettet mod SolarWinds sårbarhed. Den bedste antivirussoftware og -apps: Hold din pc, telefon og tablet sikker Open Source | Sikkerheds-tv | Datastyring | CXO | Datacentre