Key takeaways
- Hackere postede en kode, der afslørede en udnyttelse i et meget brugt Java-logningsbibliotek.
- Cybersikkerhedseksperter bemærkede massescanning på tværs af nettet på udkig efter servere og tjenester, der kunne udnyttes.
-
Cybersecurity and Infrastructure Security Agency (CISA) har opfordret leverandører og brugere til hurtigst muligt at reparere og opdatere deres software og tjenester.
Cybersikkerhedslandskabet brænder på grund af en let udnyttelig sårbarhed i et populært Java-logningsbibliotek, Log4j. Det bruges af alle populære software og tjenester og er måske allerede begyndt at påvirke den daglige desktop- og smartphonebruger.
Cybersikkerhedseksperter ser en bred vifte af anvendelsesmuligheder for Log4j-udnyttelsen, der allerede begynder at dukke op på det mørke web, lige fra udnyttelse af Minecraft-servere til mere højprofilerede problemer, som de mener potentielt kan påvirke Apple iCloud.
"Denne Log4j-sårbarhed har en trickle-down-effekt, der påvirker alle store softwareudbydere, der kan bruge denne komponent som en del af deres applikationspakke," fort alte John Hammond, Senior Security Researcher hos Huntress, til Lifewire via e-mail. "Sikkerhedsfællesskabet har afsløret sårbare applikationer fra andre teknologiproducenter som Apple, Twitter, Tesla, [og] Cloudflare, blandt andre. Mens vi taler, udforsker industrien stadig den enorme angrebsflade og risikerer, at denne sårbarhed udgør."
Ild i hullet
Sårbarheden sporet som CVE-2021-44228 og døbt Log4Shell, har den højeste alvorlighedsscore på 10 i det fælles sårbarhedsscoringssystem (CVSS).
GreyNoise, som analyserer internettrafik for at opfange vigtige sikkerhedssignaler, observerede første gang aktivitet for denne sårbarhed den 9. december 2021. Det var da våbenbaserede proof-of-concept exploits (PoC'er) begyndte at dukke op, hvilket førte til en hurtig stigning i scanning og offentlig udnyttelse den 10. december 2021 og gennem weekenden.
Log4j er stærkt integreret i et bredt sæt af DevOps-rammer og virksomheds-IT-systemer og i slutbrugersoftware og populære cloud-applikationer.
Anirudh Batra, en trusselsanalytiker hos CloudSEK, forklarer alvoren af sårbarheden, og fortæller Lifewire via e-mail, at en trusselaktør kunne udnytte det til at køre kode på en fjernserver.
"Dette har gjort selv populære spil som Minecraft også sårbare. En angriber kan udnytte det blot ved at sende en nyttelast i chatboksen. Ikke kun Minecraft, men andre populære tjenester som iCloud [og] Steam er også sårbare," Batra forklarede og tilføjede, at "at udløse sårbarheden i en iPhone er lige så simpelt som at ændre navnet på enheden."
Tip of the Iceberg
Cybersikkerhedsvirksomheden Tenable foreslår, at fordi Log4j er inkluderet i en række webapplikationer og bruges af en række forskellige cloud-tjenester, vil det fulde omfang af sårbarheden ikke være kendt i nogen tid.
Virksomheden peger på et GitHub-lager, der sporer de berørte tjenester, som i skrivende stund oplister omkring tre dusin producenter og tjenester, inklusive populære såsom Google, LinkedIn, Webex, Blender og andre nævnt tidligere.
Mens vi taler, udforsker industrien stadig den enorme angrebsflade og risikerer, at denne sårbarhed udgør.
Hidtil har langt størstedelen af aktiviteten været scanning, men udnyttelse og aktiviteter efter udnyttelse er også set.
"Microsoft har observeret aktiviteter, herunder installation af møntminearbejdere, Cob alt Strike for at muliggøre tyveri af legitimationsoplysninger og sideværts bevægelse og eksfiltrering af data fra kompromitterede systemer," skriver Microsoft Threat Intelligence Center.
Batten Down the Hatches
Det er derfor ingen overraskelse, at på grund af den lette udnyttelse og udbredelsen af Log4j, fortæller Andrew Morris, grundlægger og administrerende direktør for GreyNoise, til Lifewire, at han tror på, at den fjendtlige aktivitet vil fortsætte med at stige i løbet af de næste par dage.
Den gode nyhed er imidlertid, at Apache, udviklerne af det sårbare bibliotek, har udstedt en patch for at kastrere udnyttelserne. Men det er nu op til individuelle softwareproducenter at lappe deres versioner for at beskytte deres kunder.
Kunal Anand, CTO for cybersikkerhedsvirksomheden Imperva, siger til Lifewire via e-mail, at mens det meste af den modstandskampagne, der udnytter sårbarheden i øjeblikket er rettet mod virksomhedsbrugere, skal slutbrugere være på vagt og sørge for at opdatere deres berørte software så snart patches er tilgængelige.
Følelsen blev gentaget af Jen Easterly, direktør hos Cybersecurity and Infrastructure Security Agency (CISA).
"Slutbrugere vil være afhængige af deres leverandører, og leverandørfællesskabet skal øjeblikkeligt identificere, afbøde og lappe den brede vifte af produkter ved hjælp af denne software. Leverandører bør også kommunikere med deres kunder for at sikre, at slutbrugerne ved at deres produkt indeholder denne sårbarhed og bør prioritere softwareopdateringer," sagde Easterly via en erklæring.
