Log4Shell: все еще существует, все еще опасен, и как защитить свои системы


Исследователи Barracuda заметили постоянный поток атак, пытающихся использовать уязвимость Log4j с момента ее обнаружения. Что интересно, так это то, откуда исходит большинство атак.

Изображение: Adobe Inventory/Андреас Протт

Log4Shell, эксплойт, направленный на широко используемую библиотеку Apache Log4j, с момента его обнаружения в декабре не проявлял никаких признаков замедления своей популярности среди хакеров, говорят исследователи из Barracuda Networks.

Log4Shell настолько критичен, насколько это возможно для критической уязвимости. Он получил 10 баллов из 10 по шкале серьезности Национального института стандартов и технологий, и на то есть веская причина: он нацелен на библиотеку, которую почти каждое приложение Java использует для регистрации запросов, и все, что требуется для запуска, — это вредоносная строка от злоумышленника. .

ВИДЕТЬ: Google Chrome: советы по безопасности и пользовательскому интерфейсу, которые вам нужно знать (ТехРеспублика Премиум)

По словам Тушара Ричабадаса, старшего менеджера по маркетингу продуктов Barracuda в области приложений и облачной безопасности, с момента ее обнаружения в декабре «объем атак, пытающихся использовать эти уязвимости, оставался относительно постоянным с несколькими падениями и всплесками за последние два месяца».

Вот что странно: 83% атак, в которых использовался эксплойт Log4Shell, были совершены в Соединенных Штатах.

Анатомия атак Log4Shell

Barracuda заявила, что извлекла данные об атаках, совершенных 10 декабря 2021 года, чтобы получить полное представление о том, как Log4Shell использовался с момента его обнаружения. Как упоминалось выше, исследователи обнаружили некоторые интересные данные при просмотре IP-адресов злоумышленников: большинство из них происходят из США, а остальные — из Японии (10%), Германии и Нидерландов (3%) и России (1%).

Рихабадас отметил, что атака, исходящая с определенного IP-адреса, не означает, что злоумышленник географически находится в этом месте, тем более что Barracuda обнаружил, что половина атак, исходящих из США, исходила от AWS, Azure и других облачных центров обработки данных.

«Облачные сервисы просто обеспечивают легкий доступ к эфемерным IP-адресам, которые имеют хорошую репутацию и вряд ли будут заблокированы по географическому признаку или по репутации», — сказал Ричабадас. Кроме того, он отметил, что настоящие полезные нагрузки, вероятно, были доставлены с других скомпрометированных сайтов или виртуальных частных серверов. Эти IP-адреса обычно кодируются в Base64, чтобы еще больше запутать их, что затрудняет определение источника полезной нагрузки.

С точки зрения того, что делают злоумышленники после того, как им удалось успешно использовать эксплойт Log4Shell, Барракуда выделил четыре примера: относительно безобидный розыгрыш, вредоносное ПО для криптомайнинга, вредоносное ПО DDoS и вредоносное ПО, нацеленное на VMware.

Первый, в зависимости от того, как вы на него смотрите, довольно безобидный, но информативный трюк: он рик-роллит пользователей, когда выполняется определенный набор условий. В отличие от той «атаки», которую на самом деле можно считать полезной с точки зрения «спасибо, что сообщили нам», другие, описанные Барракудой, определенно менее «полезны».

ВИДЕТЬ: Взлом пароля: почему поп-культура и пароли несовместимы (бесплатный PDF) (ТехРеспублика)

Было обнаружено вредоносное ПО для криптомайнинга Monero, а также вредоносное ПО, нацеленное на установки VMware, инициирующее DDoS-атаки и устанавливающее различные вредоносные программы ботнетов, наиболее распространенным из которых было устройство IoT, нацеленное на ботнет Mirai.

По словам Ричабадаса, типы атак также могут дать представление о том, что произойдет в ближайшем будущем с кибербезопасностью. «Распространенность вредоносного ПО для ботнетов DDoS, по-видимому, предполагает, что злоумышленники работают над созданием крупной ботнета для будущего использования, и в ближайшем будущем следует ожидать крупных DDoS-атак».

Защитить себя от Log4Shell действительно просто

Есть простое решение, которое может полностью исключить этот риск из ваших расчетов кибербезопасности: установите последнюю версию Log4j, которая решит эту проблему.

Это не всегда возможно в производственных средах, поэтому, если вы не можете установить исправление сейчас, вы можете предпринять шаги, чтобы определить, уязвимы ли ваши системы для Log4Shell, а также различные действия, которые можно предпринять, чтобы свести к минимуму воздействие Log4Shell… пока вы не сможете установить патч, что должно быть вашей конечной целью.

https://cyberxhack.org/