Sleutel wegneemetes
- Hackers het 'n kode geplaas wat 'n uitbuiting in 'n wydgebruikte Java-logboekbiblioteek onthul.
- Cybersecurity speurders het opgemerk massaskandering oor die web op soek na ontginbare bedieners en dienste.
-
Die Kubersekuriteit- en Infrastruktuur-sekuriteitsagentskap (CISA) het verskaffers en gebruikers versoek om hul sagteware en dienste dringend reg te maak en op te dateer.
Die kuberveiligheidslandskap is aan die brand as gevolg van 'n maklik ontginbare kwesbaarheid in 'n gewilde Java-logboekbiblioteek, Log4j. Dit word deur elke gewilde sagteware en diens gebruik en het dalk reeds begin om die alledaagse rekenaar- en slimfoongebruiker te raak.
Kuberveiligheidskenners sien 'n wye verskeidenheid gebruiksgevalle vir die Log4j-uitbuiting wat reeds op die donker web begin verskyn, wat wissel van die uitbuiting van Minecraft-bedieners tot meer hoëprofielkwessies wat hulle glo Apple iCloud kan raak.
"Hierdie Log4j-kwesbaarheid het 'n uitvloei-effek, wat alle groot sagtewareverskaffers raak wat hierdie komponent as deel van hul toepassingsverpakking kan gebruik," het John Hammond, Senior Sekuriteitsnavorser by Huntress, per e-pos aan Lifewire gesê. "Die sekuriteitsgemeenskap het kwesbare toepassings van ander tegnologievervaardigers soos Apple, Twitter, Tesla, [en] Cloudflare, onder andere ontbloot. Soos ons praat, verken die bedryf steeds die groot aanvaloppervlak en die risiko wat hierdie kwesbaarheid inhou."
Vuur in die gat
Die kwesbaarheid nagespoor as CVE-2021-44228 en gedoop Log4Shell, het die hoogste ernstelling van 10 in die algemene kwesbaarheidtellingstelsel (CVSS).
GreyNoise, wat internetverkeer ontleed om veiligheidsseine op te tel, het die eerste keer aktiwiteit vir hierdie kwesbaarheid op 9 Desember 2021 waargeneem. Dit is toe dat gewapende bewys-van-konsep-uitbuitings (PoC's) begin verskyn het, wat gelei het tot 'n vinnige toename in skandering en openbare uitbuiting op 10 Desember 2021 en deur die naweek.
Log4j is sterk geïntegreer in 'n wye stel DevOps-raamwerke en ondernemings-IT-stelsels en in eindgebruikersagteware en gewilde wolktoepassings.
Anirudh Batra, 'n bedreigingsontleder by CloudSEK, verduidelik die erns van die kwesbaarheid, en vertel Lifewire per e-pos dat 'n bedreigingakteur dit kan uitbuit om kode op 'n afgeleë bediener uit te voer.
"Dit het selfs gewilde speletjies soos Minecraft ook kwesbaar gelaat. 'n Aanvaller kan dit uitbuit net deur 'n loonvrag in die chatbox te plaas. Nie net Minecraft nie, maar ander gewilde dienste soos iCloud [en] Steam is ook kwesbaar," Batra het verduidelik en bygevoeg dat "om die kwesbaarheid in 'n iPhone te aktiveer, so eenvoudig is soos om die naam van die toestel te verander."
Tip of the Iceberg
Cybersecurity-maatskappy Tenable stel voor dat omdat Log4j by 'n aantal webtoepassings ingesluit is en deur 'n verskeidenheid wolkdienste gebruik word, die volle omvang van die kwesbaarheid vir 'n geruime tyd nie bekend sal wees nie.
Die maatskappy wys na 'n GitHub-bewaarplek wat die geaffekteerde dienste naspoor, wat ten tyde van die skryf daarvan ongeveer drie dosyn vervaardigers en dienste bevat, insluitend gewilde soos Google, LinkedIn, Webex, Blender en ander wat vroeër genoem is.
Terwyl ons praat, verken die bedryf steeds die groot aanvaloppervlak en waag hierdie kwesbaarheid inhou.
Tot nou toe was die oorgrote meerderheid van aktiwiteit skandering, maar uitbuiting en na-uitbuiting aktiwiteite is ook gesien.
"Microsoft het aktiwiteite waargeneem, insluitend die installering van muntmynwerkers, Cob alt Strike om geloofsdiefstal en laterale beweging moontlik te maak, en om data van gekompromitteerde stelsels uit te filtreer," skryf die Microsoft Threat Intelligence Centre.
Batten Down the Hatches
Dit is dus geen verrassing dat as gevolg van die gemak van uitbuiting en voorkoms van Log4j, Andrew Morris, stigter en uitvoerende hoof van GreyNoise, vir Lifewire sê dat hy glo dat die vyandige bedrywighede oor die volgende paar dae sal aanhou toeneem.
Die goeie nuus is egter dat Apache, die ontwikkelaars van die kwesbare biblioteek, 'n pleister uitgereik het om die uitbuitings te neutraliseer. Maar dit is nou aan individuele sagtewarevervaardigers om hul weergawes aan te pas om hul kliënte te beskerm.
Kunal Anand, uitvoerende hoof van die kuberveiligheidsmaatskappy Imperva, sê per e-pos aan Lifewire dat hoewel die meeste van die teenstrydige veldtog wat die kwesbaarheid uitbuit tans op ondernemingsgebruikers gerig is, moet eindgebruikers waaksaam bly en seker maak dat hulle hul geaffekteerde sagteware opdateer sodra pleisters beskikbaar is.
Die sentiment is weerspieël deur Jen Easterly, Direkteur by die Kuberveiligheids- en Infrastruktuursekuriteitsagentskap (CISA).
"Eindgebruikers sal op hul verskaffers staatmaak, en die verskaffergemeenskap moet onmiddellik die wye verskeidenheid produkte identifiseer, versag en pleister deur hierdie sagteware te gebruik. Verkopers moet ook met hul kliënte kommunikeer om te verseker dat eindgebruikers weet dat hul produk hierdie kwesbaarheid bevat en sagteware-opdaterings moet prioritiseer," het Easterly via 'n verklaring gesê.