Keeawayt
- Hakkerit julkaisivat koodin, joka paljastaa hyväksikäytön laaj alti käytetyssä Java-lokikirjastossa.
- Kyberturvallisuustutkijat huomasivat massaskannauksen verkossa etsimässä hyödynnettäviä palvelimia ja palveluita.
-
Cybersecurity and Infrastructure Security Agency (CISA) on kehottanut myyjiä ja käyttäjiä korjaamaan ja päivittämään ohjelmistonsa ja palvelunsa kiireellisesti.
Kyberturvallisuusympäristö on liekeissä suositun Java-lokikirjaston Log4j:n helposti hyödynnettävän haavoittuvuuden vuoksi. Sitä käyttävät kaikki suositut ohjelmistot ja palvelut, ja se on ehkä jo alkanut vaikuttaa jokapäiväiseen työpöydän ja älypuhelimen käyttäjään.
Kyberturvallisuusasiantuntijat näkevät monenlaisia käyttötapauksia Log4j-hyödynnälle, joka alkaa jo näkyä pimeässä verkossa, aina Minecraft-palvelimien hyödyntämisestä korkean profiilin ongelmiin, joiden he uskovat voivan vaikuttaa Apple iCloudiin.
"Tällä Log4j-haavoittuvuudella on tihkumisvaikutus, joka vaikuttaa kaikkiin suuriin ohjelmistotoimittajiin, jotka saattavat käyttää tätä komponenttia osana sovelluspakettiaan", John Hammond, Huntressin vanhempi tietoturvatutkija, kertoi Lifewirelle sähköpostitse. "Turvallisuusyhteisö on paljastanut haavoittuvia sovelluksia muilta teknologiavalmistajilta, kuten Applelta, Twitteriltä, Tesl alta ja Cloudflarelta. Nyt kun puhumme, teollisuus tutkii edelleen laajaa hyökkäyspinta-alaa ja riskejä, joita tämä haavoittuvuus aiheuttaa."
Fire in the Hole
Haavoittuvuuden, jota jäljitetään nimellä CVE-2021-44228 ja jota kutsutaan nimellä Log4Shell, vakavuusaste on korkein, 10 yleisessä haavoittuvuuden pisteytysjärjestelmässä (CVSS).
GreyNoise, joka analysoi Internet-liikennettä havaitakseen huomionarvoisia tietoturvasignaaleja, havaitsi tämän haavoittuvuuden ensimmäisen kerran 9. joulukuuta 2021. Silloin alkoi ilmestyä aseistautuneita proof-of-concept -hyötyjä (PoC), mikä johti skannauksen ja julkisen käytön nopea lisääntyminen 10.12.2021 ja viikonlopun aikana.
Log4j on vahvasti integroitu laajaan joukkoon DevOps-kehyksiä ja yritysten IT-järjestelmiä sekä loppukäyttäjien ohjelmistoja ja suosittuja pilvisovelluksia.
CloudSEK:n uhkaanalyytikko Anirudh Batra kertoo Lifewirelle sähköpostitse haavoittuvuuden vakavuutta selittäessään, että uhkatekijä voi käyttää sitä hyväkseen ajaakseen koodia etäpalvelimella.
"Tämä on jättänyt myös suositut pelit, kuten Minecraft, myös haavoittuvaiksi. Hyökkääjä voi käyttää sitä hyväkseen vain lähettämällä hyötykuorman chatboxiin. Ei vain Minecraft, vaan myös muut suositut palvelut, kuten iCloud [ja] Steam, ovat myös haavoittuvia, " Batra selitti ja lisäsi, että "iPhonen haavoittuvuuden laukaiseminen on yhtä helppoa kuin laitteen nimen vaihtaminen."
Jäävuoren huippu
Kyberturvallisuusyritys Tenable ehdottaa, että koska Log4j sisältyy useisiin verkkosovelluksiin ja sitä käyttävät useat pilvipalvelut, haavoittuvuuden koko laajuus ei tunneta pitkään aikaan.
Yhtiö viittaa GitHub-tietovarastoon, joka seuraa vaikutusalaan kuuluvia palveluita. Luettelossa on kirjoitushetkellä noin kolme tusinaa valmistajaa ja palvelua, mukaan lukien suosittuja, kuten Google, LinkedIn, Webex, Blender ja muut aiemmin mainitut.
Kun me puhumme, teollisuus tutkii edelleen laajaa hyökkäyspinta-alaa ja vaarantaa tämän haavoittuvuuden.
Tähän asti v altaosa toiminnasta on ollut skannausta, mutta myös hyväksikäyttöä ja sen jälkeistä toimintaa on nähty.
"Microsoft on havainnut toimintaa, mukaan lukien kolikkokaivosten asentaminen, Cob alt Strike v altuustietojen varastamisen ja sivuttaisliikkeen mahdollistamiseksi sekä tietojen suodattaminen vaarantuneista järjestelmistä", kirjoittaa Microsoft Threat Intelligence Center.
Batten Down the Luukut
Ei siis ole yllätys, että Log4j:n helppokäyttöisyyden ja yleisyyden vuoksi Andrew Morris, GreyNoisen perustaja ja toimitusjohtaja, kertoo Lifewirelle uskovansa vihamielisen toiminnan lisääntyvän edelleen muutaman seuraavan päivän aikana.
Hyvä uutinen on kuitenkin se, että Apache, haavoittuvan kirjaston kehittäjä, on julkaissut korjaustiedoston, joka neutraloi hyväksikäytöt. Mutta nyt yksittäisten ohjelmistovalmistajien on korjattava versioitaan asiakkaidensa suojaamiseksi.
Kunal Anand, kyberturvallisuusyhtiö Impervan tekninen johtaja, kertoo Lifewirelle sähköpostitse, että vaikka suurin osa haavoittuvuutta hyväksikäyttävästä kampanjasta on tällä hetkellä suunnattu yrityskäyttäjille, loppukäyttäjien on pysyttävä valppaina ja varmistettava, että he päivittävät ohjelmistonsa, jota tämä haavoittuvuus koskee. heti kun korjaustiedostoja on saatavilla.
Tämän tunteen toisti Jen Easterly, Cybersecurity and Infrastructure Security Agencyn (CISA) johtaja.
"Loppukäyttäjät ovat riippuvaisia toimittajistaan, ja toimittajayhteisön on välittömästi tunnistettava, vähennettävä ja korjattava tätä ohjelmistoa käyttävien tuotteiden laaja valikoima. Myyjien tulee myös olla yhteydessä asiakkaisiinsa varmistaakseen, että loppukäyttäjät tietävät että heidän tuotteensa sisältää tämän haavoittuvuuden ja että ohjelmistopäivitykset tulisi asettaa etusijalle", Easterly sanoi lausunnossaan.
