Luka w Log4j, wykryta na początku grudnia br., nadal znajduje się w centrum zainteresowania cyberprzestępców. Zaatakowano poprzez nią dotąd 48 proc. firm na całym świecie, a w Polsce 53 proc. – według danych Check Point Research. Firma twierdzi, że jej systemy zablokowały ponad 4,3 mln prób wykorzystania podatności.

Jest wszędzie i łatwo ją wykorzystać

Luce CVE-2021-44228 przypisano najwyższy, dziesiąty poziom ryzyka m.in. za sprawą powszechności użycia pakietów Apache Log4j. To najpopularniejsza biblioteka logowania Java z ponad 400 tys. pobrań z na GitHubie. Korzysta z niej niezliczona ilość firm na całym świecie. Zagrożonych może być setki milionów urządzeń.

Ponadto wykorzystanie luki przez cyberprzestępców jest – zdaniem specjalistów – relatywnie proste i pozwala na przejęcie kontroli nad serwerami internetowymi, opartymi na Javie oraz na przeprowadzenie ataku zdalnego wykonania kodu.

Błąd spodobał się kopaczom

Zwykle napastnicy wykorzystują błąd w Log4j do pobrania trojana, który uruchamia pobranie pliku .exe, instalującego cryptominery, czyli programy do kopania kryptowalut.

Gdy cryptominer zostanie zainstalowany, zaczyna wykorzystywać zasoby komputerów w sieci do wydobywania kryptowaluty dla zysku atakujących. Wszystko to odbywa się bez wiedzy ofiar. Istotne funkcje i nazwy plików są zamaskowane, aby uniknąć wykrycia przez mechanizmy analizy statycznej podstawowych antywirusów.

Kto nie był dobrze chroniony, już został zhakowany

Hakerzy natychmiast po ujawnieniu luki ruszyli ze skanowaniem internetu. „Firmy, które nie miały wdrożonych zaawansowanych środki ochrony, prawdopodobnie zostały już przeskanowane przez cyberprzestępców” – uważa Lotem Finkelstein, szef działu wywiadu zagrożeń w Check Point Software.

Nawet 100 włamań na minutę

„To bez wątpienia jedna z najpoważniejszych luk internetowych w ostatnich latach. W pewnych momentach byliśmy świadkami przeszło 100 włamań związanych z luką Log4j na minutę” – mówi Lotem Finkelstein, szef działu wywiadu zagrożeń w Check Point Software.

Artykuł 53 proc. polskich firm zostało zaatakowanych poprzez lukę w Log4j pochodzi z serwisu CRN.

Firmy i organizacje z całego kraju znalazły się w poważnym niebezpieczeństwie. Polska zajmuje trzecie miejsce na świecie pod względem częstotliwości prób wykorzystania do cyberataków luki Log4j, po Japonii i Stanach Zjednoczonych. – według danych Esetu.

Co najmniej połowa polskich firm zaatakowanych

Z kolei według danych Check Pointa już we wtorek – 14.12 (stan na godz. 22:00) aż 49 proc. polskich przedsiębiorstw i organizacji mogło doświadczyć ataku wykorzystującego Log4j. Do tego czasu odnotowano 1,3 mln prób ataków na podmioty z całego świata, a 46 proc. z nich było przeprowadzanych przez znane grupy hakerskie.

Odkryty błąd naraża serwery na całym świecie na ryzyko ich całkowitego przejęcia przez cyberprzestepców i oznacza zagrożenie przypuszczalnie dla setek milionów urządzeń na świecie.

Dziurawa biblioteka Log4j służy do zbierania logów z aplikacji. Jest powszechnie używana m.in. w  usłudze Apple iCloud, usługach Amazona, na platformie Twittera czy w grach, jak np. Minecraft.

Luka Log4Shell uzyskała najwyższą notę, 10 punktów w skali CVSS (w skali od 0-10, wykorzystywany do określenia poziomów ważności wykrytych luk).

Atakują firmy i dostawców usług

Sytuacja w naszym kraju jest bardzo podobna do innych państw. Atakowane są organizacje i dostawcy usług, korzystający z rozwiązań wykorzystujących bibliotekę Apache Log4j.

Jak wyjaśnia Eset, wykorzystanie luki umożliwia hakerom zdalne wykonanie kodu poprzez przesłanie i uruchomienie go na atakowanym serwerze, a w konsekwencji przejęcie nad nim kontroli, co grozi infekcją maszyny złośliwym oprogramowaniem i paraliżem firmy.

Jeśli atakujący dostanie się do sieci lokalnej, to może wykorzystać nawet systemy wewnętrzne, które nie są podłączone do internetu. Haker nie potrzebuje fizycznego dostępu, aby uruchomić dowolny kod, który mógłby prowadzić do pełnej kontroli nad dotkniętymi nią systemami i kradzieży poufnych danych.

Jak ustalił Check Point, ataki wykorzystują zwykle lukę w Log4j do pobrania złośliwego trojana pozwalającego m.in. na wykorzystanie mocy obliczeniowych do kopania kryptowalut.

Gdy cryptominer zostanie zainstalowany, zaczyna wykorzystywać zasoby komputerów w sieci do wydobywania kryptowaluty dla zysku atakujących. Funkcje i nazwy plików są zamaskowane, aby uniknąć wykrycia przez mechanizmy analizy statycznej podstawowych antywirusów.

Jak się bronić

Eset zaleca administratorom systemów natychmiastowe sprawdzenie, czy uruchamiane przez nich aplikacje korzystają z biblioteki Log4j. Jeśli odnajdą taką aplikację w swoim systemie, biblioteka Log4j musi zostać natychmiast zaktualizowana do najwyższej wersji 2.16.0 (zagrożone podatnością są wszystkie wersje Log4j od 2.0 do 2.15.0 włącznie). Następnie należy dokładnie sprawdzić, czy system nie został już naruszony. Pomogą w tym narzędzia udostępnione w sieci.

Artykuł Koszmarny bilans luki Log4j. Polska trzecim najbardziej zagrożonym krajem na świecie pochodzi z serwisu CRN.

Krytyczna luka w zabezpieczeniach ujawniona w zeszłym tygodniu w pakiecie logów Java Log4j wstrząsnęła branżą. Amerykańska rządowa agencja obawia się, że na atak hakerów jest wystawionych setki milionów urządzeń. To możliwe, biorąc pod uwagę, jak często ta biblioteka open source była wykorzystywana do tworzenia oprogramowania dla przedsiębiorstw.

„Ta luka jest jedną z najpoważniejszych, jakie widziałam w całej mojej karierze, jeśli nie najpoważniejszą” – stwierdziła w CNN Jen Easterly, dyrektor CISA (Cybersecurity and Infrastructure Security Agency). W branży jest od 20 lat.

Jak twierdzi amerykański CRN, aż 10 dużych dostawców technologii jest dotkniętych luką Log4j (Log4Shell).

Wrażliwy kod można znaleźć w produktach i usługach Cisco, IBM, VMware, AWS, Fortinet, Broadcom, a także ConnectWise, N-able, Okta i HCL – wskazuje CRN USA. Zdnet wymienia także produkty takich marek jak Microsoft Azure, Oracle, Red Hat, Splunk.

Produceci od kilku dni gorączkowo opracowują łatki i aktualizacje. Niektóre są już dostępne, ale na część trzeba będzie czekać być może nawet do początku 2022 r. Wydaje się to za długo, biorąc pod uwagę, z jaką szybkością działają cyberprzestępcy, co udowodnił niedawny eksperyment dotyczący usług chmurowych.

Było już setki tysięcy ataków (a to dopiero początek)

Tymczasem czas mija nieubłaganie. Już na początku grudnia br. eksperci ds. cyberbezpieczeństwa zaobserwowali zmasowaną akcję skanowania w poszukiwaniu luki Log4j. Tylko w ciągu kilku ostatnich dni ataki stwierdzono już w ponad 40 proc. polskich firm – według Check Point.

Sophos wykrył na świecie setki tysięcy prób ataków wykorzystujących tę podatność, m.in. z pomocą programów do „kopania” kryptowalut.

Według badaczy cyberprzestępcy będą w najbliższych tygodniach intensyfikowali działania i wykorzystywali błąd m.in. do ataków ransomware.

Nie ma jednej poprawki

Co gorsza, jak zauważają eksperci, nie da się zmontować jednej uniwersalnej poprawki dla feralnego błędu.
„Powszechne wykorzystanie biblioteki Log4j w usługach i aplikacjach sprawia, że luka Log4Shell jest wyjątkowo trudna do wykrycia i załatania” – stwierdza Sophos.

Log4Shell dotyczy oprogramowania, które jest wykorzystywane przez wiele rozwiązań i produktów. Może więc
być obecna w wielu miejscach firmowych sieci i systemów.

Przedsiębiorstwa muszą więc trzymać rękę na pulsie i reagować na zmiany wprowadzane przez dostawców używanego przez nich oprogramowania.

Giganci łatają na potęgę

Np. w przypadku Cisco błąd Log4j dotyczy 35 narzędzi wykorzystywanych w różnych produktach, przede wszystkim w UCC oraz w zarządzaniu i udostępnianiu sieci. Obecnie już wdrożono kilka poprawek, w drodze są kolejne. W usługach chmurowych załatano 7 narzędzi, 5 jeszcze czeka na aktualizacje.

Luka może umożliwić zdalne wykonanie kodu w prawie 40 produktach VMware (wiele należy do linii Tanzu, vRealize, Spring Cloud, Carbon Black). Firma wprowadziła obejście dla większości zagrożonych produktów, a poprawka jest jak dotąd dostępna dla około jednej trzeciej.

W IBM dziurawa biblioteka została wykorzystana w IBM Watson Explorer oraz przez serwer WebSphere Application Server. Producent apeluje o jak najszybsze ściągnięcie aktualizacji i poprawek.

AWS m.in. poinformował, że zajmuje się luką Log4j w przypadku wszelkich usług, które wykorzystują kod open source, albo dostarczają go klientom w ramach swoich usług. Apeluje do klientów zarządzających środowiskami zawierającymi Log4j o aktualizacje do najnowszej wersji. Aktualizacje dla AWS Greengrass mają być dostępne w piątek.

Klastry AWS EMR uruchomione w EMR 5 i EMR 6 obejmują platformy open source, takie jak Apache Hive, Flink, HUDI, Presto i Trino, które wykorzystują podatne na ataki wersje Log4j. Tutaj firma także pracuje nad poprawkami.

Błąd Log4j dotyczy dwunastu produktów Fortinetu, poprawiono dotąd trzy.

Także Broadcom ustalił, że niektóre lub wszystkie wersje zaawansowanego uwierzytelniania CA, ujednoliconego zarządzania dostępem Symantec SiteMinder i produktów VIP Authentication Hub są narażone poprzez Log4Shell.

Artykuł Branża wstrząśnięta luką Log4j. Setki milionów urządzeń zagrożonych pochodzi z serwisu CRN.

Już 42 proc. polskich firm doświadczyło prób wykorzystania luki w pakiecie logowania Apache Log4j (CVE-2021-44228). Stała się ona głównym celem grup cyberprzestępczych w ostatnich dniach. W ciągu pierwszych 72 godz. od ujawnienia podatności, udokumentowano blisko 850 tys. ataków, było nawet ponad 100 włamań na minutę – wynika z danych Check Point Research. Zaledwie w 24 godz. po ujawnieniu eksploita (9 grudnia), pojawiło się ponad 60 nowych jego wariantów.

W skali globalnej podatność była wykorzystywana w co najmniej 40 proc. organizacji.

Na razie nie wiadomo, ile z ataków zakończyło się powodzeniem. W razie braku zaawansowanych rozwiązań bezpieczeństwa, obecność hakerów w sieciach wewnętrznych jest wysoce prawdopodobna – ostrzegają eksperci.

Tak źle dawno nie było

„To bez wątpienia jedna z najpoważniejszych luk internetowych w ostatnich latach. W przeciwieństwie do innych poważnych cyberataków, które dotyczyły jednego lub ograniczonej liczby programów, Log4j wbudowany jest praktycznie w każdy produkt lub usługę opartą na Javie” – wyjaśnia Lotem Finkelstein, szef działu wywiadu zagrożeń w Check Point Software.

Hakerzy przejmą kontrolę nad serwerami opartymi na Javie

Wykorzystanie luki jest ich zdaniem relatywnie proste i pozwala na przejęcie kontroli nad serwerami internetowymi opartymi na Javie oraz przeprowadzenie ataku zdalnego wykonania kodu.

Apache Log4j jest najpopularniejszą biblioteką logowania Java z ponad 400 tys pobrań z jej projektu na GitHubie.

Artykuł Nowa groźna luka w polskich firmach pochodzi z serwisu CRN.