Tärkeimmät oppimispisteet
- Hakkerit asettivat koodin, joka paljastaa hyväksikäytön laajalti käytettyyn Java-lokikirjastoon.
- Kyberturvallisuustutkijat huomasivat Internetissä massiivisia skannauksia, jotka etsivät hyödynnettäviä palvelimia ja palveluita.
- Cybersecurity and Infrastructure Security Agency (CISA) on kehottanut toimittajia ja käyttäjiä korjaamaan ja päivittämään ohjelmistonsa ja palvelunsa kiireellisesti.
Kyberturvallisuus on tulessa suositun Java-lokikirjaston Log4j:n helposti hyödynnettävän haavoittuvuuden vuoksi. Sitä käyttävät kaikki suositut ohjelmistot ja palvelut, ja sillä voi jo olla vaikutusta jokapäiväiseen työpöydän ja älypuhelimen käyttäjään. Kyberturvallisuusasiantuntijat näkevät jo nyt monenlaisia käyttötapauksia Log4j-hyödyntämiselle pimeässä verkossa, aina väärinkäytöstä. Minecraft palvelimia suurempiin ongelmiin, joiden he uskovat mahdollisesti vaikuttavan Apple iCloudiin. «Tällä Log4j-haavoittuvuudella on tihkumisvaikutus ja se vaikuttaa kaikkiin suuriin ohjelmistotoimittajiin, jotka voivat käyttää tätä komponenttia osana sovelluspakkauksiaan», John Hammond, Huntressin vanhempi tietoturvatutkija, kertoi Lifewirelle sähköpostitse. «Turvallisuusyhteisö on löytänyt haavoittuvia sovelluksia muilta teknologiavalmistajilta, kuten Applelta, Twitteriltä, Teslalta, [and] Mukaan lukien Cloudflare. Tässä vaiheessa teollisuus tutkii edelleen valtavaa hyökkäyspinta-alaa ja on vaarassa tämän haavoittuvuuden vuoksi.
Tuli reikässä
Haavoittuvuuden, jota jäljitetään nimellä CVE-2021-44228 ja jonka nimi on Log4Shell, vakavuusaste on korkein CVSS (Common Vulnerability Scoring System) -järjestelmässä, 10. GreyNoise, joka analysoi Internet-liikennettä löytääkseen tärkeitä tietoturvasignaaleja, havaitsi tämän haavoittuvuuden ensimmäisen kerran 9. joulukuuta 2021. julkinen toiminta 10.12.2021 ja koko viikonlopun. Log4j on integroitu laajaan joukkoon DevOps-kehyksiä ja yritysten IT-järjestelmiä sekä loppukäyttäjien ohjelmistoja ja suosittuja pilvisovelluksia.
Anirudh Batra, CloudSEK:n uhkaanalyytikko, selittää haavoittuvuuden vakavuuden ja kertoo Lifewirelle sähköpostitse, että uhkatekijä voi käyttää sitä väärin ajaakseen koodia etäpalvelimella. «Tämä on tehnyt jopa suosituista peleistä sellaisia Minecraft myös haavoittuvainen. Hyökkääjä voi hyödyntää sitä asettamalla hyötykuorman chat-ruutuun. Ei vain Minecraftmutta muut suositut palvelut, kuten iCloud [and] Myös Steam on haavoittuvainen», Batra selittää ja lisää, että «iPhonen haavoittuvuuden aktivoiminen on yhtä helppoa kuin laitteen nimen vaihtaminen.»
Jäävuoren huippu
Kyberturvallisuusyritys Tenable ehdottaa, että koska Log4j sisältyy useisiin verkkosovelluksiin ja sitä käyttävät erilaiset pilvipalvelut, haavoittuvuuden koko laajuutta ei tiedetä vielä pitkään aikaan. Yritys viittaa GitHub-tietovarastoon, joka seuraa kyseisiä palveluita, ja joka luettelee kirjoittamishetkellä noin kolme tusinaa valmistajaa ja palvelua, mukaan lukien suosittuja, kuten Google, LinkedIn, Webex, Blender ja muut aiemmin mainitut. Tässä vaiheessa teollisuus tutkii edelleen valtavaa hyökkäyspinta-alaa ja on vaarassa tämän haavoittuvuuden vuoksi. Toistaiseksi suurin osa toiminnasta on skannattu, mutta myös hyväksikäyttöä ja sen jälkeistä toimintaa on havaittu. «Microsoft on havainnut toimintaa, mukaan lukien kolikkokaivosten asentaminen, Cobalt Strike valtuustietojen varastamisen ja sivuttaisliikkeen mahdollistamiseksi sekä tietojen suodattaminen vaarantuneista järjestelmistä», kirjoittaa Microsoft Threat Intelligence Center.
Lyö ikkunaluukut alas
Ei siis ole yllätys, että hyödyntämisen helppouden ja Log4j:n yleisyyden vuoksi Andrew Morris, GreyNoisen perustaja ja toimitusjohtaja, kertoo Lifewirelle uskovansa vihamielisen toiminnan lisääntyvän edelleen tulevina päivinä. Hyvä uutinen on kuitenkin se, että haavoittuvan kirjaston kehittäjä Apache on julkaissut korjaustiedoston, joka neutraloi hyväksikäytöt. Mutta nyt yksittäisten ohjelmistovalmistajien on päivitettävä versionsa asiakkaidensa suojaamiseksi.
Kunal Anand, kyberturvallisuusyrityksen Impervan tekninen johtaja, kertoo Lifewirelle sähköpostitse, että vaikka suurin osa haavoittuvuutta hyödyntävästä vihamielisestä kampanjasta on tällä hetkellä kohdistettu yrityskäyttäjille, loppukäyttäjien tulee pysyä valppaina ja varmistaa, että he päivittävät ongelman kohteena olevan ohjelmistonsa heti, kun korjaustiedostot ovat saatavilla. saatavilla. Tunnetta toisti kyberturvallisuus- ja infrastruktuuriturvallisuusviraston (CISA) johtaja Jen Easterly. «Loppukäyttäjät ovat riippuvaisia toimittajistaan ja toimittajayhteisön on välittömästi tunnistettava, rajoitettava ja korjattava tätä ohjelmistoa käyttävien tuotteiden laaja valikoima. Toimittajien on myös kommunikoitava asiakkaidensa kanssa varmistaakseen, että loppukäyttäjät tietävät, että heidän tuotteensa sisältää tämän haavoittuvuuden ja että heidän tulee priorisoi ohjelmistopäivitykset», Easterly sanoi lausunnossaan.