מזונות חשובים
- האקרים פרסמו קוד החושף ניצול בספריית רישום Java בשימוש נרחב.
- מחקרי אבטחת סייבר הבחינו בסריקה המונית ברחבי האינטרנט בחיפוש אחר שרתים ושירותים שניתנים לניצול.
-
הסוכנות לאבטחת סייבר ותשתיות (CISA) קראה לספקים ולמשתמשים לתקן ולעדכן את התוכנה והשירותים שלהם בדחיפות.
נוף אבטחת הסייבר בוער עקב פגיעות שניתן לנצל בקלות בספריית רישום פופולרית של Java, Log4j. הוא נמצא בשימוש על ידי כל תוכנה ושירות פופולרי ואולי כבר התחיל להשפיע על משתמש שולחן העבודה והסמארטפון היומיומי.
מומחי אבטחת סייבר רואים מגוון רחב של מקרי שימוש עבור ניצול Log4j שכבר מתחיל להופיע ברשת האפלה, החל מניצול שרתי Minecraft ועד לבעיות בפרופיל גבוה יותר שלדעתם עשויות להשפיע על Apple iCloud.
"לפגיעות זו של Log4j יש אפקט מטפטף, ומשפיעה על כל ספקי התוכנה הגדולים שעשויים להשתמש ברכיב זה כחלק מאריזת היישומים שלהם", אמר ג'ון האמונד, חוקר אבטחה בכיר ב-Hunttress, ל-Lifewire בדוא"ל. "קהילת האבטחה חשפה יישומים פגיעים מיצרניות טכנולוגיה אחרות כמו אפל, טוויטר, טסלה, [ו] Cloudflare, בין היתר. בזמן שאנחנו מדברים, התעשייה עדיין בוחנת את משטח ההתקפה העצום ומסתכנת בפגיעות זו."
אש בחור
לחולשת המעקב כ-CVE-2021-44228 ומכונה Log4Shell, יש את ציון החומרה הגבוה ביותר של 10 במערכת ניקוד הפגיעות הנפוצה (CVSS).
GreyNoise, המנתח תעבורת אינטרנט כדי לקלוט אותות אבטחה חשובים, צפה לראשונה בפעילות עבור פגיעות זו ב-9 בדצמבר 2021. אז החלו להופיע ניצול הוכחת נשק (PoCs) שהובילו ל עלייה מהירה של סריקה וניצול ציבורי ב-10 בדצמבר 2021 ועד סוף השבוע.
Log4j משולב בכבדות במערך רחב של מסגרות DevOps ומערכות IT ארגוניות ובתוכנות למשתמשי קצה ויישומי ענן פופולריים.
בהסביר את חומרת הפגיעות, Anirudh Batra, אנליסט איומים ב-CloudSEK, אומר ל-Lifewire בדוא ל ששחקן איום יכול לנצל אותו כדי להריץ קוד בשרת מרוחק.
"זה הותיר אפילו משחקים פופולריים כמו Minecraft פגיעים. תוקף יכול לנצל אותו רק על ידי פרסום מטען בתיבת הצ'אט. לא רק Minecraft, אלא שירותים פופולריים אחרים כמו iCloud [ו] Steam פגיעים גם הם," בטרה הסבירה והוסיפה כי "הפעלת הפגיעות באייפון היא פשוטה כמו שינוי שם המכשיר."
קצה הקרחון
חברת אבטחת הסייבר Tenable מציעה שמכיוון ש-Log4j נכלל במספר יישומי אינטרנט, ומשמש במגוון שירותי ענן, ההיקף המלא של הפגיעות לא יהיה ידוע במשך זמן מה.
החברה מצביעה על מאגר GitHub שעוקב אחר השירותים המושפעים, שבזמן כתיבת שורות אלה רשומים כשלושה תריסר יצרנים ושירותים, כולל כאלה פופולריים כמו גוגל, LinkedIn, Webex, Blender ואחרים שהוזכרו קודם לכן.
בזמן שאנחנו מדברים, התעשייה עדיין בוחנת את משטח ההתקפה העצום ומסתכנת בפגיעות זו.
עד עכשיו, הרוב המכריע של הפעילות היה סריקה, אבל נראו גם פעילויות של ניצול ואחרי ניצול.
"מיקרוסופט צפתה בפעילויות כולל התקנת כורי מטבעות, Cob alt Strike כדי לאפשר גניבת אישורים ותנועה לרוחב, והוצאת נתונים ממערכות שנפגעו", כותב מרכז המודיעין של Microsoft Threat Intelligence.
Batten Down the Hatches
אין זה מפתיע, אם כן, שבשל קלות הניצול והשכיחות של Log4j, אנדרו מוריס, מייסד ומנכ ל GreyNoise, אומר ל-Lifewire כי הוא מאמין שהפעילות העוינת תמשיך לגדול במהלך הימים הקרובים.
החדשות הטובות, לעומת זאת, הן שאפצ'י, מפתחי הספרייה הפגיעה, הוציאה תיקון לסירוס הניצולים. אבל עכשיו זה תלוי ביצרני תוכנה בודדים לתקן את הגרסאות שלהם כדי להגן על הלקוחות שלהם.
קונל אנאנד, CTO של חברת אבטחת הסייבר Imperva, אומר ל-Lifewire בדוא ל שבעוד שרוב הקמפיין היריב המנצל את הפגיעות מופנה כיום למשתמשים ארגוניים, משתמשי הקצה צריכים להישאר ערניים ולוודא שהם מעדכנים את התוכנה המושפעת שלהם. ברגע שיהיו תיקונים זמינים.
הסנטימנט זכה להד על ידי ג'ן איסטרלי, מנהלת הסוכנות לאבטחת סייבר ותשתיות (CISA).
"משתמשי הקצה יהיו סומכים על הספקים שלהם, ועל קהילת הספקים לזהות, להפחית ולתאם מיד את המגוון הרחב של מוצרים באמצעות תוכנה זו. ספקים צריכים גם לתקשר עם הלקוחות שלהם כדי להבטיח שמשתמשי הקצה ידעו שהמוצר שלהם מכיל את הפגיעות הזו ועליו לתעדף עדכוני תוכנה", אמר Easterly בהצהרה.
