Ключевые выводы
- Хакеры опубликовали код, раскрывающий эксплойт в широко используемой библиотеке протоколирования Java.
- Сыщики по кибербезопасности заметили массовое сканирование сети в поисках уязвимых серверов и сервисов.
-
Агентство по кибербезопасности и безопасности инфраструктуры (CISA) призвало поставщиков и пользователей срочно устанавливать исправления и обновлять свое программное обеспечение и услуги.
Ландшафт кибербезопасности в огне из-за легко эксплуатируемой уязвимости в популярной библиотеке ведения журналов Java, Log4j. Он используется всеми популярными программами и службами и, возможно, уже начал влиять на повседневных пользователей настольных компьютеров и смартфонов.
Эксперты по кибербезопасности видят широкий спектр вариантов использования эксплойта Log4j, который уже начинает появляться в темной сети, начиная от использования серверов Minecraft и заканчивая более громкими проблемами, которые, по их мнению, потенциально могут повлиять на Apple iCloud.
«Эта уязвимость Log4j имеет эффект просачивания, затрагивая всех крупных поставщиков программного обеспечения, которые могут использовать этот компонент как часть упаковки своих приложений», - сообщил Lifewire по электронной почте Джон Хаммонд, старший исследователь безопасности в Huntress. «Сообщество по безопасности обнаружило уязвимые приложения от других производителей технологий, таких как Apple, Twitter, Tesla, [и] Cloudflare, среди прочих. Пока мы говорим, отрасль все еще изучает обширную поверхность для атак и риски, которые представляет эта уязвимость».
Огонь в проруби
Уязвимость, отслеживаемая как CVE-2021-44228 и получившая название Log4Shell, имеет наивысшую оценку серьезности 10 в общей системе оценки уязвимостей (CVSS).
GreyNoise, которая анализирует интернет-трафик для обнаружения важных сигналов безопасности, впервые обнаружила активность этой уязвимости 9 декабря 2021 года. быстрый рост сканирования и публичного использования 10 декабря 2021 г. и в выходные дни.
Log4j тесно интегрирован в широкий набор сред DevOps и корпоративных ИТ-систем, а также в программное обеспечение для конечных пользователей и популярные облачные приложения.
Объясняя серьезность уязвимости, Анируд Батра, аналитик угроз в CloudSEK, сообщает Lifewire по электронной почте, что злоумышленник может использовать ее для запуска кода на удаленном сервере.
«Это сделало уязвимыми даже такие популярные игры, как Minecraft. Злоумышленник может использовать их, просто разместив полезную нагрузку в окне чата. Не только Minecraft, но и другие популярные сервисы, такие как iCloud [и] Steam, также уязвимы», Батра объяснил, добавив, что «активировать уязвимость в iPhone так же просто, как изменить имя устройства."
Верхушка айсберга
Компания по кибербезопасности Tenable предполагает, что, поскольку Log4j включен в ряд веб-приложений и используется различными облачными сервисами, полный масштаб уязвимости не будет известен в течение некоторого времени.
Компания указывает на репозиторий GitHub, который отслеживает затронутые сервисы, в котором на момент написания статьи перечислено около трех десятков производителей и сервисов, включая популярные, такие как Google, LinkedIn, Webex, Blender и другие, упомянутые ранее.
Пока мы говорим, индустрия все еще исследует обширную поверхность атак и риски, которые представляет эта уязвимость.
До сих пор подавляющее большинство действий было связано со сканированием, но также были замечены действия по эксплуатации и пост-эксплуатации.
«Microsoft наблюдала за действиями, включая установку майнеров монет, Cob alt Strike для обеспечения кражи учетных данных и бокового перемещения, а также кражу данных из скомпрометированных систем», - пишет Microsoft Threat Intelligence Center.
Задраить люки
Поэтому неудивительно, что из-за простоты использования и распространенности Log4j Эндрю Моррис, основатель и генеральный директор GreyNoise, сказал Lifewire, что, по его мнению, враждебная активность продолжит расти в течение следующих нескольких дней.
Хорошая новость заключается в том, что Apache, разработчики уязвимой библиотеки, выпустили патч для обезвреживания эксплойтов. Но теперь отдельные производители программного обеспечения должны исправлять свои версии, чтобы защитить своих клиентов.
Кунал Ананд, технический директор компании по кибербезопасности Imperva, сообщает Lifewire по электронной почте, что, хотя большая часть враждебной кампании, использующей уязвимость, в настоящее время направлена на корпоративных пользователей, конечные пользователи должны сохранять бдительность и следить за тем, чтобы они обновляли свое уязвимое программное обеспечение. как только патчи будут доступны.
Это мнение поддержала Джен Истерли, директор Агентства кибербезопасности и безопасности инфраструктуры (CISA).
Конечные пользователи будут полагаться на своих поставщиков, и сообщество поставщиков должно немедленно выявлять, устранять проблемы и исправлять широкий спектр продуктов, использующих это программное обеспечение. Поставщики также должны общаться со своими клиентами, чтобы конечные пользователи знали что их продукт содержит эту уязвимость и должен отдавать приоритет обновлениям программного обеспечения», - говорится в заявлении Истерли.