Βασικά Takeaways
- Χάκερ δημοσίευσαν έναν κώδικα που αποκαλύπτει ένα exploit σε μια ευρέως χρησιμοποιούμενη βιβλιοθήκη καταγραφής Java.
- Sleuth της κυβερνοασφάλειας παρατήρησαν μαζική σάρωση στον ιστό αναζητώντας εκμεταλλεύσιμους διακομιστές και υπηρεσίες.
-
Η Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομής (CISA) προέτρεψε τους προμηθευτές και τους χρήστες να επιδιορθώσουν και να ενημερώσουν το λογισμικό και τις υπηρεσίες τους επειγόντως.
Το τοπίο της κυβερνοασφάλειας είναι φλεγόμενο λόγω μιας εύκολα εκμεταλλεύσιμης ευπάθειας σε μια δημοφιλή βιβλιοθήκη καταγραφής Java, τη Log4j. Χρησιμοποιείται από κάθε δημοφιλές λογισμικό και υπηρεσία και ίσως έχει ήδη αρχίσει να επηρεάζει τον καθημερινό χρήστη επιτραπέζιου υπολογιστή και smartphone.
Εμπειρογνώμονες στον τομέα της κυβερνοασφάλειας βλέπουν μια μεγάλη ποικιλία περιπτώσεων χρήσης για το exploit Log4j που έχει ήδη αρχίσει να εμφανίζεται στον σκοτεινό ιστό, που κυμαίνονται από την εκμετάλλευση των διακομιστών Minecraft έως πιο υψηλού προφίλ ζητήματα που πιστεύουν ότι θα μπορούσαν ενδεχομένως να επηρεάσουν το Apple iCloud.
"Αυτή η ευπάθεια Log4j έχει ένα αποτέλεσμα σταδιακής μείωσης, επηρεάζοντας όλους τους μεγάλους παρόχους λογισμικού που ενδέχεται να χρησιμοποιήσουν αυτό το στοιχείο ως μέρος του πακέτου εφαρμογών τους", είπε ο John Hammond, Ανώτερος Ερευνητής Ασφαλείας στο Huntress, στο Lifewire μέσω email. "Η κοινότητα ασφαλείας έχει αποκαλύψει ευάλωτες εφαρμογές από άλλους κατασκευαστές τεχνολογίας όπως η Apple, το Twitter, η Tesla [και] το Cloudflare, μεταξύ άλλων. Τη στιγμή που μιλάμε, η βιομηχανία εξακολουθεί να εξερευνά την τεράστια επιφάνεια επίθεσης και να κινδυνεύει αυτή η ευπάθεια."
Φωτιά στην τρύπα
Η ευπάθεια που παρακολουθείται ως CVE-2021-44228 και ονομάζεται Log4Shell, έχει την υψηλότερη βαθμολογία σοβαρότητας 10 στο κοινό σύστημα βαθμολόγησης ευπάθειας (CVSS).
Το GreyNoise, το οποίο αναλύει την κυκλοφορία του Διαδικτύου για να πάρει τα σήματα ασφαλείας, παρατήρησε για πρώτη φορά δραστηριότητα για αυτήν την ευπάθεια στις 9 Δεκεμβρίου 2021. Τότε ήταν που άρχισαν να εμφανίζονται οπλισμένα proof-of-concept exploits (PoC), που οδήγησαν σε ταχεία αύξηση της σάρωσης και της δημόσιας εκμετάλλευσης στις 10 Δεκεμβρίου 2021 και μέχρι το Σαββατοκύριακο.
Το Log4j έχει ενσωματωθεί σε μεγάλο βαθμό σε ένα ευρύ σύνολο πλαισίων DevOps και εταιρικών συστημάτων πληροφορικής και σε λογισμικό τελικού χρήστη και δημοφιλείς εφαρμογές cloud.
Εξηγώντας τη σοβαρότητα της ευπάθειας, ο Anirudh Batra, αναλυτής απειλών στο CloudSEK, λέει στο Lifewire μέσω email ότι ένας παράγοντας απειλής θα μπορούσε να το εκμεταλλευτεί για να εκτελέσει κώδικα σε έναν απομακρυσμένο διακομιστή.
"Αυτό έχει αφήσει ευάλωτα ακόμη και δημοφιλή παιχνίδια όπως το Minecraft. Ένας εισβολέας μπορεί να το εκμεταλλευτεί απλώς δημοσιεύοντας ένα ωφέλιμο φορτίο στο chatbox. Όχι μόνο το Minecraft, αλλά και άλλες δημοφιλείς υπηρεσίες όπως το iCloud [και] το Steam είναι επίσης ευάλωτα, " Ο Batra εξήγησε, προσθέτοντας ότι «η ενεργοποίηση της ευπάθειας σε ένα iPhone είναι τόσο απλή όσο η αλλαγή του ονόματος της συσκευής."
Η άκρη του παγόβουνου
Η εταιρεία κυβερνοασφάλειας Tenable προτείνει ότι επειδή το Log4j περιλαμβάνεται σε έναν αριθμό εφαρμογών ιστού και χρησιμοποιείται από διάφορες υπηρεσίες cloud, το πλήρες εύρος της ευπάθειας δεν θα είναι γνωστό για κάποιο χρονικό διάστημα.
Η εταιρεία επισημαίνει ένα αποθετήριο GitHub που παρακολουθεί τις επηρεαζόμενες υπηρεσίες, οι οποίες τη στιγμή της γραφής απαριθμούν περίπου τρεις δωδεκάδες κατασκευαστές και υπηρεσίες, συμπεριλαμβανομένων δημοφιλών όπως το Google, το LinkedIn, το Webex, το Blender και άλλες που αναφέρθηκαν προηγουμένως.
Την ώρα που μιλάμε, η βιομηχανία εξακολουθεί να εξερευνά την τεράστια επιφάνεια επίθεσης και τον κίνδυνο που θέτει αυτή η ευπάθεια.
Μέχρι τώρα, η συντριπτική πλειονότητα της δραστηριότητας ήταν σάρωση, αλλά έχουν παρατηρηθεί επίσης δραστηριότητες εκμετάλλευσης και μετά την εκμετάλλευση.
"Η Microsoft παρατήρησε δραστηριότητες όπως εγκατάσταση εξορύξεων νομισμάτων, Cob alt Strike για την ενεργοποίηση κλοπής διαπιστευτηρίων και πλευρική μετακίνηση και εξαγωγή δεδομένων από παραβιασμένα συστήματα", γράφει το Microsoft Threat Intelligence Center.
Batten Down the Hatches
Δεν αποτελεί έκπληξη, λοιπόν, ότι λόγω της ευκολίας εκμετάλλευσης και της επικράτησης του Log4j, ο Andrew Morris, ιδρυτής και διευθύνων σύμβουλος της GreyNoise, λέει στο Lifewire ότι πιστεύει ότι η εχθρική δραστηριότητα θα συνεχίσει να αυξάνεται τις επόμενες ημέρες.
Τα καλά νέα, ωστόσο, είναι ότι ο Apache, οι προγραμματιστές της ευάλωτης βιβλιοθήκης, έχουν εκδώσει μια ενημέρωση κώδικα για τη στείρωση των εκμεταλλεύσεων. Αλλά τώρα εναπόκειται στους μεμονωμένους κατασκευαστές λογισμικού να διορθώσουν τις εκδόσεις τους για να προστατεύσουν τους πελάτες τους.
Kunal Anand, CTO της εταιρείας κυβερνοασφάλειας Imperva, λέει στο Lifewire μέσω email ότι ενώ το μεγαλύτερο μέρος της αντίπαλης εκστρατείας που εκμεταλλεύεται την ευπάθεια απευθύνεται επί του παρόντος σε εταιρικούς χρήστες, οι τελικοί χρήστες πρέπει να παραμείνουν σε εγρήγορση και να βεβαιωθούν ότι ενημερώνουν το λογισμικό που επηρεάζεται μόλις είναι διαθέσιμες οι ενημερώσεις κώδικα.
Το συναίσθημα επαναλήφθηκε από την Jen Easterly, Διευθύντρια στην Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομών (CISA).
Οι τελικοί χρήστες θα βασίζονται στους προμηθευτές τους και η κοινότητα των προμηθευτών πρέπει αμέσως να εντοπίσει, να μετριάσει και να διορθώσει το ευρύ φάσμα προϊόντων που χρησιμοποιούν αυτό το λογισμικό. Οι προμηθευτές θα πρέπει επίσης να επικοινωνούν με τους πελάτες τους για να διασφαλίσουν ότι οι τελικοί χρήστες γνωρίζουν ότι το προϊόν τους περιέχει αυτήν την ευπάθεια και θα πρέπει να δώσει προτεραιότητα στις ενημερώσεις λογισμικού», ανέφερε ο Easterly μέσω μιας δήλωσης.