Key Takeaways
- Hakeri su objavili kod koji otkriva eksploataciju u široko korišćenoj Java biblioteci evidencije.
- Tužioci kibernetičke sigurnosti primijetili su masovno skeniranje širom weba u potrazi za serverima i uslugama koje je moguće iskoristiti.
-
Agencija za kibernetičku i infrastrukturnu sigurnost (CISA) pozvala je prodavce i korisnike da hitno zakrpe i ažuriraju svoj softver i usluge.
Sajber-sigurnosni pejzaž je u plamenu zbog ranjivosti koja se lako može iskoristiti u popularnoj Java biblioteci za evidentiranje, Log4j. Koriste ga svaki popularni softver i servis i možda je već počeo da utiče na svakodnevne korisnike desktopa i pametnih telefona.
Stručnjaci za kibernetičku sigurnost vide široku paletu slučajeva upotrebe eksploatacije Log4j koji se već počinje pojavljivati na mračnom webu, u rasponu od iskorištavanja Minecraft servera do problema visokog profila za koje vjeruju da bi mogli utjecati na Apple iCloud.
"Ova Log4j ranjivost ima efekat curenja, utičući na sve velike dobavljače softvera koji bi mogli koristiti ovu komponentu kao dio paketa svojih aplikacija", rekao je John Hammond, viši istraživač sigurnosti u Huntressu, za Lifewire putem e-pošte. "Sigurnosna zajednica je otkrila ranjive aplikacije drugih proizvođača tehnologije kao što su Apple, Twitter, Tesla, Cloudflare, između ostalih. Dok razgovaramo, industrija još uvijek istražuje ogromnu površinu napada i rizik koji ova ranjivost predstavlja."
Vatra u rupi
Ranjivost praćena kao CVE-2021-44228 i nazvana Log4Shell, ima najveću ocjenu ozbiljnosti od 10 u zajedničkom sistemu bodovanja ranjivosti (CVSS).
GreyNoise, koji analizira internet promet kako bi pokupio sigurnosne signale, prvi put je zamijetio aktivnost za ovu ranjivost 9. decembra 2021. Tada su se počeli pojavljivati naoružani eksploatacije za dokaz koncepta (PoC), što je dovelo do brzo povećanje skeniranja i javne eksploatacije 10. decembra 2021. i tokom vikenda.
Log4j je snažno integrisan u širok skup DevOps okvira i korporativnih IT sistema i u softver za krajnje korisnike i popularne cloud aplikacije.
Objašnjavajući ozbiljnost ranjivosti, Anirudh Batra, analitičar prijetnji u CloudSEK-u, kaže za Lifewire putem e-pošte da bi akter prijetnje mogao to iskoristiti za pokretanje koda na udaljenom serveru.
"Ovo je čak i popularne igre kao što je Minecraft takođe učinilo ranjivim. Napadač to može iskoristiti samo postavljanjem tereta u chatbox. Ne samo Minecraft, već i druge popularne usluge kao što su iCloud Steam su također ranjive, " Batra je objasnio, dodajući da je „pokretanje ranjivosti na iPhoneu jednostavno kao i promjena naziva uređaja."
Vrh ledenog brega
Kompanija za kibernetičku sigurnost Tenable sugerira da budući da je Log4j uključen u brojne web aplikacije i koriste ga razne usluge u oblaku, pun opseg ranjivosti neće biti poznat neko vrijeme.
Kompanija ukazuje na GitHub spremište koje prati pogođene usluge, koje u vrijeme pisanja navodi oko tri tuceta proizvođača i usluga, uključujući one popularne kao što su Google, LinkedIn, Webex, Blender i drugi ranije spomenuti.
Dok govorimo, industrija još uvijek istražuje ogromnu površinu napada i rizik koji ova ranjivost predstavlja.
Do sada je velika većina aktivnosti bila skeniranje, ali su također viđene eksploatacijske i posteksploatacijske aktivnosti.
"Microsoft je uočio aktivnosti koje uključuju instaliranje rudara novčića, Cob alt Strike kako bi se omogućila krađa akreditiva i bočno pomicanje, i eksfiltracija podataka iz kompromitovanih sistema", piše Microsoft Threat Intelligence Center.
Batten Down the Hatches
Ne iznenađuje, dakle, da zbog lakoće eksploatacije i rasprostranjenosti Log4j-a, Andrew Morris, osnivač i izvršni direktor GreyNoisea, kaže za Lifewire da vjeruje da će neprijateljska aktivnost nastaviti da raste u narednih nekoliko dana.
Dobra vijest je, međutim, da je Apache, programer ranjive biblioteke, izdao zakrpu za neutralizaciju eksploatacije. Ali sada je na pojedinačnim proizvođačima softvera da zakrpe svoje verzije kako bi zaštitili svoje kupce.
Kunal Anand, CTO kompanije za kibernetičku sigurnost Imperva, kaže za Lifewire putem e-pošte da je većina suprotstavljenih kampanja u kojima se iskorištava ranjivost trenutno usmjerena na poslovne korisnike, krajnji korisnici moraju ostati na oprezu i pobrinuti se da ažuriraju svoj zahvaćeni softver čim zakrpe budu dostupne.
Osjećanje je ponovila Jen Easterly, direktorica Agencije za kibernetičku sigurnost i infrastrukturnu sigurnost (CISA).
"Krajnji korisnici će se oslanjati na svoje dobavljače, a zajednica dobavljača mora odmah identificirati, ublažiti i zakrpiti široku lepezu proizvoda koristeći ovaj softver. Prodavci bi također trebali komunicirati sa svojim kupcima kako bi osigurali da krajnji korisnici znaju da njihov proizvod sadrži ovu ranjivost i da treba dati prioritet ažuriranjima softvera, " rekao je Easterly u izjavi.
