Liam Tung är en frilansande teknikjournalist på heltid som skriver för flera australiska publikationer.
Fullständig bio den 26 januari 2022 | Ämne: Säkerhet 
Log4Shell påverkade hundratals miljoner enheter och kastades ut som en kritisk teknisk nödsituation som skulle nästan säkert vara utnyttjade angripare runt om i världen.
Men en månad efter att Apache Software Foundation avslöjade Log4Shell i sitt Log4J-bibliotek den 9 december, sa den amerikanska byrån för cybersäkerhet och infrastruktursäkerhet (CISA) att de inte har sett några större intrång uppstå från attacken, med undantag för en attack mot Belgiska försvarsministeriet.
Anledningen till den initiala oro var att den Java-baserade applikationsfelloggningskomponenten var inbäddad i så många interna företagsapplikationer och hundratals produkter från VMWare, Oracle, IBM, Cisco och andra.
p>
SE: En vinnande strategi för cybersäkerhet (ZDNet specialrapport)
Trots detta utnyttjar sårbarheten har varit begränsade. Säkerhetsföretaget Rapid7 såg till exempel en ökning av exploateringsförsök mot VMWares Horizon-servrar och Microsoft observerade också ett Kina-baserat dubbelutpressningsgäng NightSky som riktade sig mot sårbara instanser av Horizon.
Trots frånvaron av omedelbar massexploatering, stöder Chester Wisniewskis säkerhetschef i Sophos uppfattningen att det kommer att vara ett mål för exploatering i många år framöver.
Microsoft fortsätter att klassa Log4j-sårbarheterna som en “högrisksituation” för företag över hela världen och anser att det finns stor potential för utökad användning. Men för tillfället tror Wisniewski att en omedelbar kris har avvärjts.
“[D]et omedelbara hotet om angripare som massutnyttjade Log4Shell avvärjdes eftersom allvarligheten av buggen förenade de digitala gemenskaperna och säkerhetsgemenskaperna och fick människor att agera. Detta sågs redan 2000 med Y2K-felet och det verkar ha gjort en betydande skillnad här”, säger Wisniewski.
Sophos upptäckte en enorm ökning av internetskanningsaktivitet i mitten av december – utförd av forskare eller hotaktörer – som avtog i slutet av januari, då mest exploatering skedde av skadlig kod för utvinning av kryptomynt.
Medan Log4Shell är lätt att exploatera på vissa system, är Log4J inbäddat i många applikationer, vilket gör faktisk exploatering mer utmanande.
“En annan faktor att tänka på när man utvärderar skanningsnumren är att en Log4Shell-typ av fel utnyttjas olika beroende på vilken applikation Log4J-koden är i och hur den har integrerats med den applikationen. Detta resulterar i en stora volymer av redundanta skanningar som försöker utnyttja olika applikationer på olika sätt”, säger Wisniewski.
CISA varnade dock för att angripare kan vänta med att använda åtkomst som erhållits genom Log4Shell tills varningsnivåerna sjunker. Det vill säga, angripare kan ligga vilande i ett nätverk och vänta på att distribuera skadlig programvara månader senare. Wisniewski stöder CISA:s försiktiga hållning.
“Sophos har observerat länder som Iran och Nordkorea kasta sig ut på VPN-sårbarheter för att få tillgång till målens nätverk och installera bakdörrar innan målen har haft en chans att distribuera patchar, och sedan vänta månader innan du använder den åtkomsten i en attack”, säger han.
När det gäller varaktigheten av Log4Shell, räknar Wisniewski med att applikationer som riktar sig mot internet kommer att hittas och lappas eller tas offline. Men det lämnar fortfarande massor av internt sårbara system som kanske aldrig kommer att upptäckas, därför kommer Log4Shell att leva vidare i åratal som ett favoritmål för penetrationstestare och statsstödda hotaktörer.
Även om det inte var den första stora mjukvaran med öppen källkod som rasade internet, ledde den till samtal i januari mellan stora tekniska aktörer och Vita huset i syfte att ta reda på hur man ska svara på och avvärja nästa stora öppna- källan bugg, särskilt transparensen i programvarans leveranskedja.
Säkerhet
Cybersäkerhet: 11 steg att ta när hotnivåerna ökar. Hon litade inte på sina flyttar. En enda Apple AirTag bevisade att hon hade rätt Hur tekniken är ett vapen i modern misshandel i hemmet Log4J: Microsoft upptäcker angripare som riktar sig mot SolarWinds sårbarhet De bästa antivirusprogramvaran och apparna: Håll din dator, telefon och surfplatta säker Öppen källkod | Säkerhets-TV | Datahantering | CXO | Datacenter