Liam Tung är en australisk affärsteknikjournalist som bor några för många svenska mil norr om Stockholm för hans smak. Han tog en kandidatexamen i ekonomi och konst (kulturstudier) vid Sydneys Macquarie University, men hackade sig (utan norrön eller skadlig kod för den delen) in i en karriär som företagsteknik-, säkerhets- och telekommunikationsjournalist med ZDNet Australia.
Fullständig bio den 13 december 2021 | Ämne: Säkerhet 
En brist i Log4j, ett Java-bibliotek för att logga felmeddelanden i applikationer, är den mest uppmärksammade säkerhetssårbarheten på internet just nu och kommer med en allvarlighetsgrad på 10 av 10.
Biblioteket är utvecklat av Apache Software Foundation med öppen källkod och är en viktig Java-loggningsram. Sedan förra veckans varning från CERT New Zealand om att CVE-2021-44228, ett fel vid fjärrexekvering av kod i Log4j, redan utnyttjades i naturen, har varningar utfärdats av flera nationella cybersäkerhetsbyråer, inklusive Cybersecurity and Infrastructure Security Agency (CISA) ) och Storbritanniens National Cyber Security Center (NCSC). Internetinfrastrukturleverantören Cloudflare sa att Log4j-exploaterna startade den 1 december.
Vilka enheter och applikationer är i fara?
I princip alla enheter som är utsatta för internet är i riskzonen om den kör Apache Log4J, version 2.0 till 2.14.1. NCSC noterar att Log4j version 2 (Log4j2), den berörda versionen, ingår i Apache Struts2, Solr, Druid, Flink och Swift ramverk.
Mirai, ett botnät som riktar sig till alla slags internetanslutna (IoT)-enheter, har antagit en exploatering för bristen. Cisco och VMware har släppt patchar för sina berörda produkter.
Log4j-bristtäckning – vad du behöver veta nu
Log4j-fel: Angripare gör tusentals försök att utnyttja denna allvarliga sårbarhet
Säkerhetsvarning: Ny nolldag i Log4j Java-biblioteket utnyttjas redan
Log4j RCE-aktivitet började den 1 december när botnät börjar använda sårbarhet
AWS har detaljerat hur felet påverkar dess tjänster och sagt att det arbetar med att patcha sina tjänster som använder Log4j och har släppt begränsningar för tjänster som CloudFront.
På samma sätt sa IBM att de “aktivt reagerar” på Log4j-sårbarheten över IBM:s egen infrastruktur och dess produkter. IBM har bekräftat att Websphere 8.5 och 9.0 är sårbara.
Oracle har också utfärdat en patch för felet.
“På grund av allvaret i denna sårbarhet och publiceringen av exploateringskod på olika webbplatser, rekommenderar Oracle starkt att kunderna tillämpar uppdateringarna som tillhandahålls av denna säkerhetsvarning så snart som möjligt”, stod det.
Nödvändiga åtgärder: Upptäcka och korrigera enheter
CISA:s främsta råd är att identifiera internetanslutna enheter som kör Log4j och uppgradera dem till version 2.15.0, eller att tillämpa de begränsningar som tillhandahålls av leverantörer “omedelbart”. Men det rekommenderar också att du ställer in varningar för sonder eller attacker på enheter som kör Log4j.
“För att vara tydlig, den här sårbarheten utgör en allvarlig risk”, sa CISA-chefen Jen Easterly i söndags. “Vi kommer endast att minimera potentiella effekter genom samarbetsinsatser mellan regeringen och den privata sektorn. Vi uppmanar alla organisationer att gå med oss i denna viktiga ansträngning och vidta åtgärder.”
Ytterligare steg som rekommenderas av CISA inkluderar: att räkna upp alla externa enheter med Log4j installerad; säkerställa att säkerhetsoperationscentret agerar varje varning med Log4j installerat; och installera en webbapplikationsbrandvägg (WAF) med regler för att fokusera på Log4j.
AWS har uppdaterat sin WAF-regeluppsättning – AWSManagedRulesKnownBadInputsRuleSet AMR – för att upptäcka och mildra Log4j-attackförsök och skanning. Den har också begränsningsalternativ som kan aktiveras för CloudFront, Application Load Balancer (ALB), API Gateway och AppSync. Det håller också på att uppdatera alla Amazon OpenSearch-tjänster till den korrigerade versionen av Log4j.
SE: En vinnande strategi för cybersäkerhet (ZDNet specialrapport)
NCSC rekommenderar uppdatering till version 2.15.0 eller senare, och – där det inte är möjligt – mildra bristen i Log4j 2.10 och senare genom att ställa in systemegenskapen “log4j2.formatMsgNoLookups” till “true” eller ta bort klassen JndiLookup från klasssökvägen.
En del av utmaningen kommer att vara att identifiera programvara som hyser Log4j-sårbarheten. Nederländernas Nationaal Cyber Security Centrum (NCSC) har publicerat en omfattande och hämtad A-Z-lista på GitHub över alla berörda produkter som den är medveten om är antingen sårbara, inte sårbara, är under utredning eller där en fix är tillgänglig. Listan över produkter illustrerar hur utbredd sårbarheten är, som omfattar molntjänster, utvecklartjänster, säkerhetsenheter, karttjänster med mera.
Leverantörer med populära produkter som är kända för att fortfarande vara sårbara inkluderar Atlassian, Amazon, Microsoft Azure, Cisco, Commvault, ESRI, Exact, Fortinet, JetBrains, Nelson, Nutanix, OpenMRS, Oracle, Red Hat, Splunk, Soft , och VMware. Listan är ännu längre när man lägger till produkter där en patch har släppts.
NCCGroup har publicerat flera regler för nätverksdetektering för att upptäcka utnyttjandeförsök och indikatorer på framgångsrikt utnyttjande.
Slutligen har Microsoft släppt sin uppsättning indikatorer för kompromiss och vägledning för att förhindra attacker på Log4j-sårbarheten. Exempel på efterutnyttjande av felet som Microsoft har sett inkluderar installation av myntgruvarbetare, Cobalt Strike för att möjliggöra stöld av identitetsuppgifter och rörelse i sidled och exfiltrering av data från komprometterade system.
Säkerhet
Hackare använder ny skadlig programvara som gömmer sig mellan block med skräpkod Skurkar säljer åtkomst till hackade nätverk. Ransomware-gäng är deras största kunder. Här är den perfekta presenten för att skydda alla med en dator. Dessa forskare ville testa molnsäkerhet. De blev chockade över vad de upptäckte. Hackare vänder sig till denna enkla teknik för att installera sin skadliga programvara på datorer som drabbats av ransomware? Gör inte detta första uppenbara misstag Security TV | Datahantering | CXO | Datacenter