Liam Tung Bidragyder
Liam Tung er en australsk forretningsteknologijournalist, der bor et par for mange svenske mil nord for Stockholm til hans smag. Han tog en bachelorgrad i økonomi og kunst (kulturstudier) ved Sydneys Macquarie University, men hackede sig (uden nordisk eller ondsindet kode for den sags skyld) sig ind i en karriere som enterprise tech-, sikkerheds- og telekommunikationsjournalist hos ZDNet Australia.
Fuld bio den 15. december 2021 | Emne: Sikkerhed 
Statssponserede hackere fra Kina, Iran, Nordkorea og Tyrkiet er begyndt at teste, udnytte og bruge Log4j-fejlen til at implementere malware, inklusive ransomware, ifølge Microsoft.
Som forudsagt af embedsmænd hos US Cybersecurity and Infrastructure Security Agency (CISA), er mere sofistikerede angribere nu begyndt at udnytte den såkaldte Log4Shell-fejl (CVE-2021-44228), som påvirker enheder og applikationer, der kører sårbare versioner af Log4j Java-biblioteket. Det er en potent fejl, der gør det muligt for fjernangribere at overtage en enhed efter kompromittering.
CISA-embedsmænd advarede tirsdag om, at hundredvis af millioner af virksomheds- og forbrugerenheder er i fare, indtil fejlen er rettet.
LOG4J FEJLDÆKNING – HVAD DU SKAL VIDE NU
USA advarer Log4j-fejl udsætter hundredvis af millioner af enheder i fare
Log4j-fejl: Angribere gør tusindvis af forsøg på at udnytte denne alvorlige sårbarhed
Log4j RCE-aktivitet begyndte den 1. december, da botnets begynder at bruge sårbarhed
< /strong>
Størstedelen af de angreb, som Microsoft hidtil har observeret, har været relateret til massescanning udført af angribere, der forsøger at lave tommelfingerprint af sårbare systemer, samt scanning foretaget af sikkerhedsfirmaer og forskere.
“Langt størstedelen af den observerede aktivitet har været scanning, men udnyttelse og aktiviteter efter udnyttelse er også blevet observeret. Baseret på karakteren af sårbarheden kan angriberen, når først angriberen har fuld adgang og kontrol over en applikation udføre et utal af formål. . Microsoft har observeret aktiviteter, herunder installation af møntminearbejdere, Cobalt Strike for at muliggøre tyveri af legitimationsoplysninger og sideværts bevægelse, og eksfiltrering af data fra kompromitterede systemer,” sagde Microsoft.
Dens lette udnyttelse og brede distribution i produkter gør det til en attraktivt mål for sofistikerede kriminelle og statssponsorerede angribere.
Det er denne sidstnævnte gruppe, der nu er begyndt at udnytte fejlen.
“Denne aktivitet spænder fra eksperimentering under udvikling, integration af sårbarheden til udrulning af nyttelast i naturen og udnyttelse mod mål for at nå aktørens mål,” sagde Microsoft.
Microsoft har sat fokus på Den iranske hackergruppe, den sporer som Phosphorous, som for nylig øgede deres brug af filkrypteringsværktøjer til at implementere ransomware på mål. Gruppen har erhvervet og modificeret Log4j-udnyttelsen til brug, ifølge Microsoft Threat Intelligence Center (MSTIC).
“Vi vurderer, at Phosphorus har operationaliseret disse modifikationer,” bemærker MSTIC.
Hafnium, en Beijing-støttet hackergruppe bag dette års Exchange Server-fejl, har også brugt Log4Shell til at “målrette virtualiseringsinfrastruktur for at udvide deres typiske målretning.”
Microsoft så, at de systemer, der blev brugt af Hafnium, brugte et domænenavn Server (DNS) service til fingeraftrykssystemer.
Log4Shell-fejlen blev afsløret af Apache Software Foundation den 9. december. CERT New Zealand rapporterede, at fejlen aktivt blev udnyttet. Apache udgav en patch i sidste uge. Men leverandører, herunder Cisco, IBM, Oracle, VMware og andre, skal stadig integrere patchen i deres egne berørte produkter, før kunderne kan implementere dem.
MSTIC og Microsoft 365 Defender-teamet bekræftede også, at “adgangsmæglere” – bander, der sælger eller lejer adgang til kompromitterede maskiner – har brugt Log4j-fejlen til at få fodfæste i målnetværk på både Linux- og Windows-systemer. Denne form for adgang sælges ofte videre til ransomware-bander, der leder efter ofre; sikkerhedsfirmaet BitDefender rapporterede, at en ny ransomware-stamme kaldet Khonsari allerede forsøger at udnytte Log4j-fejlen.
CISA offentliggjorde i går sin liste i GitHub over produkter berørt af Log4Shell-fejlen, efter en lignende liste fra det hollandske cybersikkerhedsagentur (NCSC) offentliggjort tidligere på ugen. CISA viser leverandøren, produktet, versionerne, status for sårbarheden, og om en opdatering er tilgængelig.
LOG4J FEJLDÆKNING – SÅDAN HOLDER DU DIN VIRKSOMHEDS SIKKERHED
Log4j zero-day-fejl: Hvad du behøver at vide, og hvordan du beskytter dig selv
Sikkerhedsadvarsel: Ny zero-day i Log4j Java-biblioteket bliver allerede udnyttet
Log4j-fejl kan være et problem for industrielle netværk 'i mange år fremover'< stærk>
Den amerikanske liste vil være et praktisk værktøj for organisationer, når de patcher berørte enheder, især amerikanske føderale agenturer, som blev beordret af CISA, en enhed i Department of Homeland Security, i går til at teste, hvilke interne applikationer og servere der er sårbare over for fejlen af 24. december.
Cisco-kunder vil have travlt i løbet af de næste par uger, når det udruller patches. Bare man ser på for eksempel Ciscos liste over berørte produkter fremhæver det arbejde, der venter for bureauteams, der skal opregne berørte systemer forud for juleferien. CISA's liste indeholder også en omfattende række af berørte VMware virtualiseringssoftwareværktøjer, hvoraf de fleste endnu ikke har en tilgængelig patch.
Snesevis af Cisco-software og netværksprodukter er berørt. Cisco udgav en patch til Webex Meetings Server i går. Cisco CX Cloud Agent-softwaren fik også en patch.
Andre berørte Cisco-produkter uden en patch omfatter Ciscos AMP Virtual Private Cloud Appliance, dets Advanced Web Security Reporting Application, Firepower Threat Defense (FTD) og Cisco Identity Services Engine (ISE). Adskillige netværksinfrastrukturstyrings- og leveringsprodukter er også sårbare, med programrettelser planlagt til 21. december og fremefter.
Sikkerhed
Log4j zero-day fejl: Hvad du behøver at vide, og hvordan du beskytter dig selv Alle er udbrændt. Det er ved at blive et sikkerhedsmareridt De bedste VPN'er til små og hjemmebaserede virksomheder i 2021 Chefer er tilbageholdende med at bruge penge på cybersikkerhed. Så bliver de hacket Ramt af ransomware? Begå ikke denne første åbenlyse fejl Security TV | Datastyring | CXO | Datacentre