Key takeaways
- Hackers postade en kod som avslöjade en exploatering i ett flitigt använt Java-loggningsbibliotek.
- Cybersäkerhetsexperter märkte massskanning över webben och letade efter exploateringsbara servrar och tjänster.
-
Cybersecurity and Infrastructure Security Agency (CISA) har uppmanat leverantörer och användare att korrigera och uppdatera sin mjukvara och tjänster snarast.
Cybersäkerhetslandskapet brinner på grund av en lätt exploaterad sårbarhet i ett populärt Java-loggningsbibliotek, Log4j. Den används av alla populära program och tjänster och har kanske redan börjat påverka den dagliga dator- och smartphoneanvändaren.
Cybersäkerhetsexperter ser en mängd olika användningsfall för Log4j-utnyttjandet som redan börjar dyka upp på den mörka webben, allt från att utnyttja Minecraft-servrar till mer högprofilerade problem som de tror skulle kunna påverka Apple iCloud.
"Denna Log4j-sårbarhet har en trickle-down-effekt och påverkar alla stora programvaruleverantörer som kan använda den här komponenten som en del av sin applikationspaketering", sa John Hammond, Senior Security Researcher på Huntress, till Lifewire via e-post. "Säkerhetscommunityt har avslöjat sårbara applikationer från andra tekniktillverkare som Apple, Twitter, Tesla, [och] Cloudflare, bland andra. När vi pratar undersöker branschen fortfarande den enorma attackytan och risken att denna sårbarhet innebär."
Eld i hålet
Sårbarheten som spåras som CVE-2021-44228 och kallad Log4Shell, har den högsta allvarlighetsgraden 10 i det gemensamma sårbarhetspoängsystemet (CVSS).
GreyNoise, som analyserar internettrafik för att fånga upp viktiga säkerhetssignaler, observerade första gången aktivitet för den här sårbarheten den 9 december 2021. Det var då beväpnade proof-of-concept exploits (PoCs) började dyka upp, vilket ledde till en snabb ökning av skanning och offentligt utnyttjande den 10 december 2021 och under helgen.
Log4j är starkt integrerad i en bred uppsättning DevOps-ramverk och IT-system för företag och i slutanvändarprogramvara och populära molnapplikationer.
Anirudh Batra, en hotanalytiker på CloudSEK, förklarar hur allvarlig sårbarheten är, och säger till Lifewire via e-post att en hotaktör kan utnyttja den för att köra kod på en fjärrserver.
"Detta har gjort även populära spel som Minecraft sårbara. En angripare kan utnyttja det bara genom att lägga upp en nyttolast i chatboxen. Inte bara Minecraft utan andra populära tjänster som iCloud [och] Steam är också sårbara, " Batra förklarade och tillade att "att utlösa sårbarheten i en iPhone är lika enkelt som att ändra namnet på enheten."
Tip of the Iceberg
Cybersäkerhetsföretaget Tenable föreslår att eftersom Log4j ingår i ett antal webbapplikationer och används av en mängd olika molntjänster, kommer hela omfattningen av sårbarheten inte att vara känd på ett tag.
Företaget pekar på ett GitHub-förråd som spårar de påverkade tjänsterna, som i skrivande stund listar omkring tre dussin tillverkare och tjänster, inklusive populära sådana som Google, LinkedIn, Webex, Blender och andra som nämnts tidigare.
När vi pratar utforskar branschen fortfarande den enorma attackytan och riskerar att denna sårbarhet utgör.
Hittills har den stora majoriteten av aktiviteten varit skanning, men exploatering och aktiviteter efter exploatering har också setts.
"Microsoft har observerat aktiviteter inklusive installation av myntgruvarbetare, Cob alt Strike för att möjliggöra stöld av identitetsuppgifter och sidoförflyttning, och exfiltrerande data från komprometterade system", skriver Microsoft Threat Intelligence Center.
Batten Down the Hatches
Det är alltså ingen överraskning att Andrew Morris, grundare och VD för GreyNoise, på grund av den lätta exploateringen och förekomsten av Log4j, säger till Lifewire att han tror att den fientliga aktiviteten kommer att fortsätta att öka under de närmaste dagarna.
De goda nyheterna är dock att Apache, utvecklarna av det sårbara biblioteket, har utfärdat en patch för att kastrera utnyttjandet. Men det är nu upp till enskilda programvarutillverkare att korrigera sina versioner för att skydda sina kunder.
Kunal Anand, CTO för cybersäkerhetsföretaget Imperva, säger till Lifewire via e-post att även om det mesta av den motståndskampanj som utnyttjar sårbarheten för närvarande riktar sig mot företagsanvändare, måste slutanvändare vara vaksamma och se till att de uppdaterar sin påverkade programvara så snart patchar finns tillgängliga.
Känslorna upprepades av Jen Easterly, direktör vid Cybersecurity and Infrastructure Security Agency (CISA).
"Slutanvändare kommer att vara beroende av sina leverantörer, och leverantörsgemenskapen måste omedelbart identifiera, mildra och korrigera det breda utbudet av produkter som använder denna programvara. Leverantörer bör också kommunicera med sina kunder för att säkerställa att slutanvändarna vet att deras produkt innehåller denna sårbarhet och bör prioritera programuppdateringar", sa Easterly via ett uttalande.
