Klíčové poznatky
- Hackeři zveřejnili kód odhalující exploit v široce používané knihovně protokolování Java.
- Kyberbezpečnostní detektivové si všimli hromadného prohledávání webu a hledání zneužitelných serverů a služeb.
-
Agentura pro kybernetickou bezpečnost a bezpečnost infrastruktury (CISA) vyzvala dodavatele a uživatele, aby urychleně opravili a aktualizovali svůj software a služby.
Prostředí kybernetické bezpečnosti je v plamenech kvůli snadno zneužitelné zranitelnosti v populární knihovně protokolů Java Log4j. Používá ho každý populární software a služba a možná již začal ovlivňovat každodenní uživatele stolních počítačů a chytrých telefonů.
Odborníci na kybernetickou bezpečnost vidí širokou škálu případů použití zneužití Log4j, které se již začíná objevovat na temném webu, od zneužívání serverů Minecraft až po častější problémy, o nichž se domnívají, že by mohly potenciálně ovlivnit Apple iCloud.
„Tato zranitelnost Log4j má dopad na všechny velké poskytovatele softwaru, kteří by tuto komponentu mohli používat jako součást balení svých aplikací,“řekl John Hammond, Senior Security Researcher ve společnosti Huntress, prostřednictvím e-mailu Lifewire. "Bezpečnostní komunita odhalila zranitelné aplikace od jiných výrobců technologií, jako je Apple, Twitter, Tesla, [a] Cloudflare, mimo jiné. Zatímco mluvíme, průmysl stále zkoumá rozsáhlou plochu útoku a riskuje, že tato zranitelnost představuje."
Oheň v díře
Zranitelnost sledovaná jako CVE-2021-44228 a nazvaná Log4Shell má nejvyšší skóre závažnosti 10 ve společném systému hodnocení zranitelnosti (CVSS).
GreyNoise, která analyzuje internetový provoz za účelem zachycení významných bezpečnostních signálů, poprvé zaznamenala aktivitu týkající se této zranitelnosti 9. prosince 2021. Tehdy se začaly objevovat zbrojní proof-of-concept exploity (PoC), které vedly k rychlý nárůst skenování a veřejného využívání 10. prosince 2021 a přes víkend.
Log4j je silně integrován do široké sady rámců DevOps a podnikových IT systémů a do softwaru pro koncové uživatele a oblíbených cloudových aplikací.
Anirudh Batra, analytik hrozeb ve společnosti CloudSEK, vysvětluje závažnost zranitelnosti a sděluje Lifewire e-mailem, že aktér hrozby by ji mohl zneužít ke spuštění kódu na vzdáleném serveru.
"To způsobilo, že i oblíbené hry, jako je Minecraft, jsou také zranitelné. Útočník toho může zneužít pouhým zveřejněním užitečného obsahu v chatboxu. Nejen Minecraft, ale i další oblíbené služby jako iCloud [a] Steam jsou také zranitelné, " Batra vysvětlil a dodal, že „spuštění zranitelnosti v iPhone je stejně jednoduché jako změna názvu zařízení."
Tip of the Iceberg
Společnost Tenable zabývající se kybernetickou bezpečností tvrdí, že protože Log4j je součástí řady webových aplikací a je používán řadou cloudových služeb, nebude ještě nějakou dobu znám úplný rozsah zranitelnosti.
Společnost poukazuje na úložiště GitHub, které sleduje dotčené služby, které v době psaní tohoto článku uvádí asi tři desítky výrobců a služeb, včetně těch populárních, jako jsou Google, LinkedIn, Webex, Blender a další, o kterých jsme se zmínili dříve.
Zatímco mluvíme, průmysl stále zkoumá rozsáhlou plochu útoku a riskuje, že tato zranitelnost představuje.
Doposud byla velká většina činností skenována, ale byly pozorovány i činnosti související s vykořisťováním a po vykořisťování.
"Microsoft pozoroval aktivity včetně instalace mincovníků, Cob alt Strike umožňující krádeže pověření a boční pohyb a exfiltraci dat z kompromitovaných systémů," píše Microsoft Threat Intelligence Center.
Batten Down the Hatches
Není tedy žádným překvapením, že kvůli snadnému využívání a rozšíření Log4j, Andrew Morris, zakladatel a generální ředitel společnosti GreyNoise, řekl Lifewire, že věří, že nepřátelská aktivita bude v příštích několika dnech dále narůstat.
Dobrou zprávou však je, že Apache, vývojáři zranitelné knihovny, vydali záplatu ke kastraci exploitů. Nyní je však na jednotlivých tvůrcích softwaru, aby své verze opravili, aby ochránili své zákazníky.
Kunal Anand, technický ředitel společnosti Imperva zabývající se kybernetickou bezpečností, sdělil Lifewire e-mailem, že zatímco většina nepřátelské kampaně využívající tuto zranitelnost je v současné době zaměřena na podnikové uživatele, koncoví uživatelé musí zůstat ostražití a ujistit se, že svůj dotčený software aktualizují. jakmile budou dostupné opravy.
Tento sentiment vyjádřila Jen Easterlyová, ředitelka Agentury pro kybernetickou bezpečnost a bezpečnost infrastruktury (CISA).
Koncoví uživatelé se budou spoléhat na své dodavatele a komunita dodavatelů musí okamžitě identifikovat, zmírnit a opravit širokou škálu produktů využívajících tento software. Prodejci by také měli komunikovat se svými zákazníky, aby koncoví uživatelé věděli že jejich produkt obsahuje tuto chybu zabezpečení a měl by upřednostňovat aktualizace softwaru,“řekl Easterly prostřednictvím prohlášení.
