Ключови изводи
- Хакери публикуваха код, разкриващ експлойт в широко използвана библиотека за регистриране на Java.
- Служителите по киберсигурност забелязаха масово сканиране в мрежата в търсене на експлоатируеми сървъри и услуги.
-
Агенцията за киберсигурност и сигурност на инфраструктурата (CISA) призова доставчиците и потребителите спешно да коригират и актуализират своя софтуер и услуги.
Пейзажът на киберсигурността е пламнал поради лесно използваема уязвимост в популярна библиотека за регистриране на Java, Log4j. Използва се от всеки популярен софтуер и услуга и вероятно вече е започнал да засяга ежедневния потребител на настолен компютър и смартфон.
Експертите по киберсигурност виждат голямо разнообразие от случаи на използване на експлойта Log4j, които вече започват да се появяват в тъмната мрежа, вариращи от използване на Minecraft сървъри до по-сериозни проблеми, които смятат, че потенциално могат да засегнат Apple iCloud.йени
"Тази уязвимост на Log4j има ефект на просмукване, засягащ всички големи доставчици на софтуер, които биха могли да използват този компонент като част от опаковката на своите приложения", каза Джон Хамънд, старши изследовател по сигурността в Huntress, пред Lifewire по имейл. „Общността по сигурността е открила уязвими приложения от други производители на технологии като Apple, Twitter, Tesla [и] Cloudflare, наред с други. Докато говорим, индустрията все още проучва огромната повърхност за атака и рискът, който тази уязвимост представлява.“йени
Огън в дупката
Уязвимостта, проследявана като CVE-2021-44228 и наречена Log4Shell, има най-висок резултат от 10 за сериозност в общата система за оценка на уязвимостите (CVSS).
GreyNoise, който анализира интернет трафика, за да улавя забележителни сигнали за сигурност, за пръв път наблюдава активност за тази уязвимост на 9 декември 2021 г. Тогава започнаха да се появяват експлойти за доказателство за концепцията (PoCs) с оръжие, което доведе до бързо нарастване на сканирането и публичното използване на 10 декември 2021 г. и през уикенда.
Log4j е силно интегриран в широк набор от DevOps рамки и корпоративни ИТ системи и в софтуер за крайни потребители и популярни облачни приложения.
Обяснявайки сериозността на уязвимостта, Anirudh Batra, анализатор на заплахи в CloudSEK, казва на Lifewire по имейл, че заплаха може да я използва, за да изпълнява код на отдалечен сървър.
"Това направи дори популярни игри като Minecraft също уязвими. Нападателят може да се възползва от това само като публикува полезен товар в чатбокса. Не само Minecraft, но и други популярни услуги като iCloud [и] Steam също са уязвими," Батра обясни, добавяйки, че „задействането на уязвимостта в iPhone е толкова просто, колкото промяната на името на устройството."
Върхът на айсберга
Компанията за киберсигурност Tenable предполага, че тъй като Log4j е включен в редица уеб приложения и се използва от различни облачни услуги, пълният обхват на уязвимостта няма да бъде известен известно време.
Компанията посочва хранилище на GitHub, което проследява засегнатите услуги, което към момента на писане изброява около три дузини производители и услуги, включително популярни такива като Google, LinkedIn, Webex, Blender и други, споменати по-рано.
Докато говорим, индустрията все още проучва обширната повърхност за атака и рискът, който представлява тази уязвимост.
Досега по-голямата част от дейността беше сканиране, но също така бяха наблюдавани дейности за експлоатация и след експлоатация.
"Microsoft наблюдава дейности, включително инсталиране на копачи на монети, Cob alt Strike за разрешаване на кражба на идентификационни данни и странично движение и ексфилтриране на данни от компрометирани системи", пише Microsoft Threat Intelligence Center.
Залепете люковете
Тогава не е изненада, че поради лекотата на експлоатация и разпространението на Log4j, Андрю Морис, основател и главен изпълнителен директор на GreyNoise, казва пред Lifewire, че вярва, че враждебната дейност ще продължи да нараства през следващите няколко дни.
Добрата новина обаче е, че Apache, разработчиците на уязвимата библиотека, са издали корекция за кастриране на подвизите. Но сега зависи от отделните производители на софтуер да коригират своите версии, за да защитят своите клиенти.
Кунал Ананд, технически директор на компанията за киберсигурност Imperva, казва на Lifewire по имейл, че докато по-голямата част от състезателната кампания, използваща уязвимостта, в момента е насочена към корпоративни потребители, крайните потребители трябва да останат бдителни и да се уверят, че актуализират своя засегнат софтуер веднага щом има налични корекции.
Настроенията бяха повторени от Джен Истърли, директор на Агенцията за киберсигурност и сигурност на инфраструктурата (CISA).
"Крайните потребители ще разчитат на своите доставчици и общността на доставчиците трябва незабавно да идентифицира, смекчи и коригира широката гама от продукти, използващи този софтуер. Доставчиците също трябва да комуникират с клиентите си, за да гарантират, че крайните потребители знаят че техният продукт съдържа тази уязвимост и трябва да даде приоритет на софтуерните актуализации, " каза Easterly чрез изявление.