Pagrindiniai pasiėmimai
- Hakeriai paskelbė kodą, atskleidžiantį išnaudojimą plačiai naudojamoje „Java“registravimo bibliotekoje.
- Kibernetinio saugumo žvalgai pastebėjo masinį žiniatinklio nuskaitymą, ieškodami išnaudojamų serverių ir paslaugų.
-
Kibernetinio saugumo ir infrastruktūros saugumo agentūra (CISA) paragino pardavėjus ir vartotojus skubiai pataisyti ir atnaujinti savo programinę įrangą ir paslaugas.
Kibernetinio saugumo aplinka liepsnoja dėl lengvai išnaudojamo pažeidžiamumo populiarioje Java registravimo bibliotekoje Log4j. Ją naudoja kiekviena populiari programinė įranga ir paslauga, o galbūt jau pradėjo veikti kasdienį stalinių kompiuterių ir išmaniųjų telefonų vartotoją.
Kibernetinio saugumo ekspertai mato daugybę įvairių Log4j išnaudojimo atvejų, kurie jau pradeda pasirodyti tamsiajame žiniatinklyje, pradedant nuo Minecraft serverių eksploatavimo ir baigiant didesnio profilio problemomis, kurios, jų nuomone, gali turėti įtakos Apple iCloud.
"Šis Log4j pažeidžiamumas turi mažėjimo efektą, paveikdamas visus didelius programinės įrangos tiekėjus, kurie gali naudoti šį komponentą kaip savo programų paketo dalį", - el. paštu Lifewire sakė Johnas Hammondas, Huntress vyresnysis saugumo tyrėjas. "Saugumo bendruomenė atskleidė pažeidžiamas programas iš kitų technologijų gamintojų, tokių kaip Apple, Twitter, Tesla, [ir] Cloudflare, be kita ko. Kol mes kalbame, pramonė vis dar tiria platų atakų paviršių ir rizikuoja dėl šio pažeidžiamumo."
Ugnis skylėje
Pažeidžiamumas, stebimas kaip CVE-2021-44228 ir pavadintas Log4Shell, turi aukščiausią 10 balų įprastoje pažeidžiamumo vertinimo sistemoje (CVSS).
GreyNoise, kuri analizuoja interneto srautą, kad gautų svarbius saugos signalus, pirmą kartą pastebėjo šio pažeidžiamumo veiklą 2021 m. gruodžio 9 d. Tada pradėjo pasirodyti ginkluoti koncepcijos įrodymo išnaudojimai (PoC), dėl kurių atsirado 2021 m. gruodžio 10 d. ir visą savaitgalį spartus nuskaitymo ir viešo naudojimo padidėjimas.
Log4j yra stipriai integruotas į platų „DevOps“sistemų ir įmonės IT sistemų rinkinį bei galutinio vartotojo programinę įrangą ir populiarias debesies programas.
Aiškindamas pažeidžiamumo sunkumą, CloudSEK grėsmių analitikas Anirudhas Batra el. paštu praneša Lifewire, kad grėsmės veikėjas gali juo pasinaudoti, kad paleistų kodą nuotoliniame serveryje.
"Dėl to net populiarūs žaidimai, tokie kaip Minecraft, taip pat tapo pažeidžiami. Užpuolikas gali tuo pasinaudoti tiesiog paskelbdamas naudingą apkrovą pokalbių laukelyje. Taip pat pažeidžiamos ne tik "Minecraft", bet ir kitos populiarios paslaugos, pvz., "iCloud" [ir] Steam. Batra paaiškino ir pridūrė, kad „išjungti pažeidžiamumą iPhone yra taip paprasta, kaip pakeisti įrenginio pavadinimą."
Ledkalnio viršūnė
Kibernetinio saugumo įmonė „Tenable“teigia, kad kadangi „Log4j“yra įtraukta į daugybę žiniatinklio programų ir naudojama įvairiose debesijos paslaugose, visas pažeidžiamumo mastas dar kurį laiką nebus žinomas.
Bendrovė nurodo „GitHub“saugyklą, kuri seka paveiktas paslaugas, kurioje rašymo metu yra apie tris dešimtis gamintojų ir paslaugų, įskaitant populiarias, tokias kaip „Google“, „LinkedIn“, „Webex“, „Blender“ir kitas anksčiau minėtas.
Kol mes kalbame, pramonė vis dar tiria didžiulį atakų paviršių ir rizikuoja dėl šio pažeidžiamumo.
Iki šiol didžioji dalis veiklos buvo nuskaitoma, tačiau buvo pastebėta ir išnaudojimo bei po naudojimo.
„Microsoft“stebėjo veiklą, įskaitant monetų kasyklų diegimą, „Cob alt Strike“, kad būtų galima pavogti kredencialus ir judėti į šoną, ir duomenų išfiltravimą iš pažeistų sistemų“, – rašo „Microsoft Threat Intelligence Center“.
Batten down the Lius
Todėl nenuostabu, kad dėl Log4j naudojimo paprastumo ir paplitimo Andrew Morrisas, „GreyNoise“įkūrėjas ir generalinis direktorius, sako „Lifewire“manantis, kad priešiška veikla ir toliau didės per ateinančias kelias dienas.
Tačiau gera žinia ta, kad „Apache“, pažeidžiamos bibliotekos kūrėjai, išleido pataisą, skirtą išnaudojimams neutralizuoti. Tačiau dabar atskiri programinės įrangos gamintojai turi pataisyti savo versijas, kad apsaugotų savo klientus.
Kunal Anand, kibernetinio saugumo įmonės „Imperva“techninis vadovas, „Lifewire“el. paštu praneša, kad nors dauguma priešingos kampanijos, naudojančios pažeidžiamumą, šiuo metu yra nukreiptos į įmonių vartotojus, galutiniai vartotojai turi išlikti budrūs ir įsitikinti, kad jie atnaujina paveiktą programinę įrangą. kai tik bus prieinami pleistrai.
Šią nuomonę pakartojo Jen Easterly, Kibernetinio saugumo ir infrastruktūros saugumo agentūros (CISA) direktorė.
Galutiniai vartotojai bus priklausomi nuo savo pardavėjų, o pardavėjų bendruomenė turi nedelsdama nustatyti, sušvelninti ir pataisyti platų produktų asortimentą naudodama šią programinę įrangą. Pardavėjai taip pat turėtų bendrauti su savo klientais, kad galutiniai vartotojai žinotų kad jų gaminyje yra šis pažeidžiamumas, todėl pirmenybė turėtų būti teikiama programinės įrangos naujinimams“, – pranešime sakė Easterly.
