Jonathan Greig er journalist baseret i New York City.
Fuld bio den 13. december 2021 | Emne: Sikkerhed
Cybersikkerhedseksperter mener, at CVE-2021-44228, en fejl ved fjernudførelse af kode i Log4j, vil tage måneder, hvis ikke år, at løse på grund af dens allestedsnærværende og lette udnyttelse.
Steve Povolny, leder af avanceret trusselsforskning for McAfee Enterprise og FireEye sagde Log4Shell “nu fast hører hjemme i den samme samtale som Shellshock, Heartbleed og EternalBlue.”
“Angribere begyndte med næsten øjeblikkeligt at udnytte fejlen til ulovlig kryptomining, eller bruge legitime computerressourcer på internettet til at generere kryptovaluta til økonomisk fortjeneste… Yderligere udnyttelse ser ud til at have drejet sig mod tyveri af privat information,” sagde Povolny til ZDNet.
“Vi forventer fuldt ud at se en udvikling af angreb.”
Også: Log4j zero-day-fejl: Hvad du behøver at vide, og hvordan du beskyt dig selv
Povolny tilføjede, at sårbarhedens indvirkning kunne være enorm, fordi den er “ormebar og kan bygges til at sprede sig selv.” Selv med en tilgængelig patch, er der snesevis af versioner af den sårbare komponent.
På grund af det store antal observerede angreb allerede, sagde Povolny, at det var “sikkert at antage, at mange organisationer allerede er blevet brudt” og bliver nødt til at træffe foranstaltninger til at reagere på hændelser.
“Vi tror på, at log4shell-udnyttelser vil vare ved i måneder, hvis ikke år fremover, med et betydeligt fald i løbet af de næste par dage og uger, efterhånden som patches i stigende grad udrulles,” sagde Povolny.
Siden den 9. december sagde Sophos senior trusselsforsker Sean Gallagher, at angrebene ved hjælp af sårbarheden udviklede sig fra forsøg på at installere møntminearbejdere – inklusive Kinsing-minearbejdernes botnet – til mere sofistikerede bestræbelser.
“Den seneste efterretningstjeneste tyder på. angribere forsøger at udnytte sårbarheden til at afsløre de nøgler, der bruges af Amazon Web Service-konti. Der er også tegn på, at angribere forsøger at udnytte sårbarheden til at installere fjernadgangsværktøjer i offernetværk, muligvis Cobalt Strike, et nøgleværktøj i mange ransomware-angreb, ” sagde Gallagher.
Paul Ducklin, hovedforsker ved Sophos, tilføjede, at teknologier, herunder IPS, WAF og intelligent netværksfiltrering, alle “hjælper med at bringe denne globale sårbarhed under kontrol.”
“Det allerbedste svar er helt klart: patch eller dæmp dine egne systemer lige nu,” sagde Ducklin.
Dr. Richard Ford, CTO hos Praetorian, forklarede, at fordi udnyttelse af sårbarheden ofte ikke kræver godkendelse eller særlig adgang, har det afsløret et utroligt udvalg af systemer.
“Der er endda ubekræftede rapporter om, at blot at ændre din telefons navn til en bestemt streng kan udnytte nogle online-systemer,” sagde Ford.
Ford og hans firmas ingeniører sagde, at det er “en af de største eksponeringer, [de] har set på internetskala.”
Også: Log4j RCE-aktivitet begyndte den 1. december, da botnets begyndte at bruge sårbarhed
Andre eksperter, der brugte weekenden på at se sårbarheden, sagde, at hackere begyndte at arbejde næsten øjeblikkeligt med at udnytte fejlen. Chris Evans, CISO hos HackerOne, sagde, at de har fået 692 rapporter om Log4j til 249 kundeprogrammer, og bemærkede, at store virksomheder som Apple, Amazon, Twitter og Cloudflare alle har bekræftet, at de var sårbare.
“Denne sårbarhed er skræmmende af et par grunde: For det første er det virkelig nemt at udnytte; alt, hvad angriberen skal gøre er at indsætte noget speciel tekst i forskellige dele af en applikation og vente på resultater. For det andet er det svært at vide, hvad der er og er ikke påvirket; sårbarheden er i et kernebibliotek, der er bundtet med mange andre softwarepakker, hvilket også gør udbedring mere kompliceret. For det tredje er det sandsynligt, at mange af dine tredjepartsleverandører er berørt,” sagde Evans.
Imperva CTO Kunal Anand sagde, at siden udrulningen af opdaterede sikkerhedsregler for mere end 13 timer siden, har virksomheden observeret mere end 1,4 millioner angreb rettet mod CVE-2021-44228.
“Vi har observeret toppe, der nåede omkring 280.000 angreb i timen. Som med andre CVE'er i sin klasse forventer vi at se dette antal vokse, især efterhånden som nye varianter bliver skabt og opdaget i løbet af de kommende dage og uger ” sagde Anand.
Sikkerhed
Log4j-fejl: Angribere gør tusindvis af forsøg på at udnytte denne sårbarhed. Alle er udbrændt. Det er ved at blive et sikkerhedsmareridt De bedste VPN'er til små og hjemmebaserede virksomheder i 2021 Chefer er tilbageholdende med at bruge penge på cybersikkerhed. Så bliver de hacket Ramt af ransomware? Begå ikke denne første åbenlyse fejl Regering | Sikkerheds-tv | Datastyring | CXO | Datacentre