Jonathan Greig är journalist baserad i New York City.
Fullständig bio den 13 december 2021 | Ämne: Säkerhet
Cybersäkerhetsexperter tror att CVE-2021-44228, ett fel vid exekvering av fjärrkod i Log4j, kommer att ta månader, om inte år, att åtgärda på grund av dess förekomst och lätthet att utnyttja.
Steve Povolny, chef för avancerad hotforskning för McAfee Enterprise och FireEye, sa Log4Shell “nu hör hemma i samma konversation som Shellshock, Heartbleed och EternalBlue.”
“Angripare började med att nästan omedelbart utnyttja buggen för illegal kryptobrytning, eller använda legitima datorresurser på Internet för att generera kryptovaluta för ekonomisk vinst… Ytterligare exploatering verkar ha svängt mot stöld av privat information”, sa Povolny till ZDNet.
“Vi förväntar oss helt och hållet att se en utveckling av attacker.”
Även: Log4j zero-day-fel: Vad du behöver veta och hur man skydda dig själv
Povolny tillade att sårbarhetens inverkan kan bli enorm eftersom den är “avmaskningsbar och kan byggas för att sprida sig själv.” Även med en tillgänglig patch finns det dussintals versioner av den sårbara komponenten.
På grund av det stora antalet observerade attacker redan, sa Povolny att det är “säkert att anta att många organisationer redan har brutits” och kommer att behöva vidta åtgärder för att bekämpa incidenter.
“Vi tror att log4shell-exploateringar kommer att bestå i månader om inte år framöver, med en betydande minskning under de närmaste dagarna och veckorna när patchar rullas ut alltmer,” sa Povolny.
Sedan den 9 december sa Sean Gallagher, seniorhotforskare från Sophos, att attackerna med sårbarheten utvecklats från försök att installera myntgruvarbetare – inklusive Kinsing-gruvarbetarnas botnät – till mer sofistikerade ansträngningar.
“Den senaste informationen tyder på angripare försöker utnyttja sårbarheten för att avslöja nycklarna som används av Amazon Web Service-konton. Det finns också tecken på angripare som försöker utnyttja sårbarheten för att installera fjärråtkomstverktyg i offernätverk, möjligen Cobalt Strike, ett nyckelverktyg i många ransomware-attacker, ” sa Gallagher.
Paul Ducklin, ledande forskare vid Sophos, tillade att teknologier, inklusive IPS, WAF och intelligent nätverksfiltrering, alla “hjälper till att få denna globala sårbarhet under kontroll.”
“Det allra bästa svaret är helt klart: korrigera eller minska dina egna system just nu,” sa Ducklin.
Dr. Richard Ford, CTO på Praetorian, förklarade att eftersom utnyttjandet av sårbarheten ofta inte kräver autentisering eller speciell åtkomst, har det avslöjat en otrolig mängd system.
“Det finns till och med obekräftade rapporter om att att helt enkelt ändra telefonens namn till en viss sträng kan utnyttja vissa onlinesystem,” sa Ford.
Ford och hans företags ingenjörer sa att det är “en av de största exponeringarna [de] har sett på internetskala.”
Även: Log4j RCE-aktivitet började den 1 december när botnät började använda sårbarhet
Andra experter som tillbringade helgen med att titta på sårbarheten sa att hackare började arbeta nästan omedelbart med att utnyttja bristen. Chris Evans, CISO på HackerOne, sa att de har fått 692 rapporter om Log4j till 249 kundprogram, och noterar att stora företag som Apple, Amazon, Twitter och Cloudflare alla har bekräftat att de var sårbara.
“Denna sårbarhet är skrämmande av några anledningar: För det första är det väldigt lätt att utnyttja; allt angriparen behöver göra är att klistra in någon speciell text i olika delar av en applikation och vänta på resultat. För det andra är det svårt att veta vad som är och påverkas inte; sårbarheten finns i ett kärnbibliotek som är paketerat med många andra programvarupaket, vilket också gör åtgärden mer komplicerad. För det tredje är det troligt att många av dina tredjepartsleverantörer påverkas, säger Evans.
Imperva CTO Kunal Anand sa att sedan de lanserade uppdaterade säkerhetsregler för mer än 13 timmar sedan har företaget observerat mer än 1,4 miljoner attacker riktade mot CVE-2021-44228.
“Vi har observerat toppar som når ungefär 280 000 attacker per timme. Som med andra CVE i sin klass förväntar vi oss att se detta antal växa, särskilt när nya varianter skapas och upptäcks under de kommande dagarna och veckorna ” sa Anand.
Säkerhet
Log4j-fel: Angripare gör tusentals försök att utnyttja denna sårbarhet. Alla är utbrända. Det håller på att bli en säkerhetsmardröm De bästa VPN:erna för små och hembaserade företag 2021. Chefer är ovilliga att spendera pengar på cybersäkerhet. Då blir de hackade Hit av ransomware? Gör inte detta första uppenbara misstag Regeringen | Säkerhets-TV | Datahantering | CXO | Datacenter