Kaip Log4J saugos pažeidžiamumas kelia jums pavojų

December 13, 2021
ĮŽinios Interneto Apsauga

Key Takeaways

Piratai paskelbė kodą, atskleidžiantį išnaudojimą plačiai naudojamoje „Java“ registravimo bibliotekoje.
Kibernetinio saugumo žvalgai pastebėjo masinį žiniatinklio nuskaitymą, ieškodami išnaudojamų serverių ir paslaugų.
Kibernetinio saugumo ir infrastruktūros saugumo agentūra (CISA) paragino pardavėjus ir vartotojus skubiai pataisyti ir atnaujinti savo programinę įrangą ir paslaugas.

Skaitmeninis sugeneruotas elektroninės grandinės apsauginės spynos vaizdas, sudarytas iš skaičių juodame fone. — Andrijus Onufrijenko / Getty Images

Kibernetinio saugumo aplinka liepsnoja dėl lengvai išnaudojamo pažeidžiamumo populiarioje Java registravimo bibliotekoje Log4j. Jį naudoja kiekviena populiari programinė įranga ir paslauga, ir galbūt jau pradėjo veikti kasdienį darbalaukio ir išmaniojo telefono vartotoją.

Kibernetinio saugumo ekspertai mato daugybę įvairių Log4j išnaudojimo atvejų, kurie jau pradeda pasirodyti tamsiajame žiniatinklyje, pradedant eksploatavimu. Minecraft serverius, kad būtų išvengta didesnių problemų, kurios, jų nuomone, gali turėti įtakos „Apple iCloud“.

„Šis Log4j pažeidžiamumas turi mažėjimo efektą, paveikdamas visus didelius programinės įrangos tiekėjus, kurie gali naudoti šį komponentą kaip savo programų paketo dalį.

Džonas Hamondas, vyresnysis saugumo tyrėjas Medžiotoja, sakė Lifewire el. paštu. „Saugumo bendruomenė atskleidė pažeidžiamas programas iš kitų technologijų gamintojų, tokių kaip Apple, Twitter, Tesla, [ir] Cloudflare ir kt. Kol mes kalbame, pramonė vis dar tiria didžiulį atakų paviršių ir rizikuoja dėl šio pažeidžiamumo.

Ugnis skylėje

Pažeidžiamumas stebimas kaip CVE-2021-44228 ir pavadintas Log4Shell, turi aukščiausią 10 pavojingumo balą bendroje pažeidžiamumo vertinimo sistemoje (CVSS).

Pilkas triukšmas, kuri analizuoja interneto srautą, kad gautų saugos signalus, pirmoji pastebėta veikla dėl šio pažeidžiamumo 2021 m. gruodžio 9 d. Tada pradėjo pasirodyti ginkluoti koncepcijos įrodymo išnaudojimai (PoC), todėl 2021 m. gruodžio 10 d. ir visą savaitgalį sparčiai padaugėjo nuskaitymo ir viešo naudojimo.

„Log4j“ yra stipriai integruota į platų „DevOps“ sistemų ir įmonės IT sistemų rinkinį bei į galutinio vartotojo programinę įrangą ir populiarias debesų programas.

Debesų kompiuterijos klavišas kompiuterio klaviatūroje — Sitade / Getty Images

Aiškindamas pažeidžiamumo sunkumą, Anirudas Batra, grėsmių analitikas CloudSEKel. paštu praneša „Lifewire“, kad grėsmės veikėjas gali juo pasinaudoti, kad paleisdamas kodą nuotoliniame serveryje.

„Tai paliko net tokius populiarius žaidimus kaip Minecraft taip pat pažeidžiami. Užpuolikas gali juo pasinaudoti tiesiog paskelbdamas naudingą apkrovą pokalbių laukelyje. Ne tik Minecraft, bet kitos populiarios paslaugos, tokios kaip „iCloud“ [ir] „Steam“, taip pat yra pažeidžiamos“, – paaiškino Batra ir pridūrė, kad „iPhone pažeidžiamumą suaktyvinti taip pat paprasta, kaip pakeisti įrenginio pavadinimą“.

Ledkalnio viršūnė

Kibernetinio saugumo įmonė Tenable siūlo Kadangi „Log4j“ yra įtraukta į daugybę žiniatinklio programų ir yra naudojama įvairiose debesijos paslaugose, visas pažeidžiamumo mastas kurį laiką nebus žinomas.

Bendrovė nurodo a GitHub saugykla kuri seka paveiktas paslaugas, kurios rašymo metu pateikia apie tris dešimtis gamintojų ir paslaugas, įskaitant populiarias, tokias kaip Google, LinkedIn, Webex, Blender ir kitas minėtas anksčiau.

„Kol mes kalbame, pramonė vis dar tiria didžiulį atakų paviršių ir rizikuoja dėl šio pažeidžiamumo.

Iki šiol didžioji dalis veiklos buvo nuskaitymas, tačiau buvo pastebėta ir eksploatacinė bei poeksploatacinė veikla.

„Microsoft stebėjo veiklą, įskaitant monetų kasyklų įrengimą, „Cobalt Strike“, kad būtų galima pavogti kredencialus ir judėti į šoną, ir duomenų išfiltravimą iš pažeistų sistemų“, – rašo „Microsoft“ grėsmių žvalgybos centras.

Nuleiskite liukus

Todėl nenuostabu, kad dėl Log4j naudojimo paprastumo ir paplitimo, Andrew Morrisas, „GreyNoise“ įkūrėjas ir generalinis direktorius, „Lifewire“ sako manantis, kad priešiška veikla ir toliau didės per ateinančias kelias dienas.

Tačiau gera žinia ta, kad „Apache“, pažeidžiamos bibliotekos kūrėjai, išleido pataisą, skirtą išnaudojimams neutralizuoti. Tačiau dabar atskiri programinės įrangos gamintojai turi pataisyti savo versijas, kad apsaugotų savo klientus.

Žmogaus rankų, dirbančių su nešiojamuoju kompiuteriu, nuotrauka iš arti — Manuelis Breva Colmeiro / Getty Images

Kunalas Anandas, kibernetinio saugumo įmonės CTO Imperva, praneša Lifewire el. paštu, kad nors dauguma priešingos kampanijos, naudojančios pažeidžiamumą, šiuo metu yra nukreiptos į įmonių naudotojai, galutiniai vartotojai turi išlikti budrūs ir įsitikinti, kad jie atnaujina paveiktą programinę įrangą, kai tik yra pataisymai prieinama.

Tokią nuotaiką pakartojo Kibernetinio saugumo ir infrastruktūros saugumo agentūros (CISA) direktorė Jen Easterly.

„Galutiniai vartotojai bus priklausomi nuo savo pardavėjų, o pardavėjų bendruomenė turi nedelsdama nustatyti, sušvelninti ir pataisyti platų produktų asortimentą, naudodama šią programinę įrangą. Pardavėjai taip pat turėtų bendrauti su savo klientais, kad galutiniai vartotojai žinotų, jog jų gaminyje yra šis pažeidžiamumas, ir turėtų teikti pirmenybę programinės įrangos naujinimams“, – sakė Easterly. pareiškimas.