Luka Log4j wciąż groźna. Hakerzy wykorzystują ją do przeprowadzania ataków ransomware
Nie milkną echa związane z wykryciem luki w Log4j - jednej z najbardziej popularnych bibliotek logowania używanych online. Eksperci ostrzegają, że hakerzy mogą wykorzystać tę podatność do przeprowadzenia ataków ransomware.
Biblioteka Apache Log4j znajduje zastosowanie podczas logowaniu zdarzeń w aplikacjach napisanych w języku Java. Z tego rozwiązania korzystają między innymi Amazon, Apple, Cisco czy Microsoft. Luce oznaczonej jako CVE-2021-44228 przypisuje się ważność 10 (najwyższy możliwy wynik ryzyka). Wykryta podatność pozwala atakującemu na wykonanie dowolnego kodu, który używa Log4j do wypisywania komunikatów dziennika. 9 grudnia Apache Foundation udostępniła awaryjną aktualizację dla krytycznego błędu zero-day w Log4j. Od tego dnia cyberprzestępcy przystąpili do skanowania Internetu w poszukiwaniu podatnych na ataki celów. Pierwsze przypadki wykorzystania luki w Log4j dotyczyły kopania krytpowalut, ale napastnicy mogą ich już wkrótce użyć do ataków ransomware.
Jak informują analitycy bezpieczeństwa firmy Bitdefender - Całkowita liczba skanów przy użyciu Log4Shell wzrosła trzykrotnie w ciągu jednego dnia, co oznacza, że najprawdopodobniej znajdujemy się dopiero na początku drogi. Większość skanowań nie ma określonego celu, aczkolwiek około 20 procent prób prawdopodobnie dotyczy poszukiwania podatnych na ataki usług Apache Solr.
Eksperci zalecają klientom natychmiastowe podjęcie działań i wdrożenie wszystkich istniejących poprawek i środków łagodzących zalecanych w branżowych poradnikach dostawców. Ponadto firma zachęca do podjęcie trzech kroków, które pozwolą ograniczyć do minimum ryzyko ataku wykorzystującego lukę Log4j.
1. Audyt infrastruktury
Należy przeprowadzić rozległy i wnikliwy audyt infrastruktury, aby zidentyfikować wszystkie systemy z platformę logowania Apache Log4j2. Następnie trzeba je uaktualnić do wersji Log4j 2.17.0 (zaktualizowane zalecenie z 18 grudnia 2021 r., ponieważ Apache zgłosił 2.16 jako podatne na atak typu Denial of Service) oraz wdrożyć ograniczenia konfiguracji zalecane przez Apache.
2. Analiza łańcucha dostaw oprogramowania i listy programów.
Konieczne jest poszukanie środków zaradczych lub poprawek łagodzących skutki ewentualnego ataku od opiekunów projektów oprogramowania typu open source bądź od producentów aplikacji komercyjnych dla wszystkich systemów, których dotyczy problem. Jest to szczególnie ważne w przypadku oprogramowania działającego w systemach połączonych z Internetem, ale nie powinno się ograniczać jedynie do nich ze względu na zagrożenie atakami bocznymi.
3. Aktywny monitoring infrastruktury pod kątem potencjalnych prób wykorzystania luki i szybkie reagowanie na wszelkie podejrzane incydenty.
Warto mieć na uwadze, że sytuacja jest bardzo dynamiczna, a wielu dostawców oprogramowania i projektów open source wciąż analizuje kwestie związane z Log4j. Dlatego w nadchodzących dniach i tygodniach mogą pojawić się dalsze wskazówki odnośnie postępowania z istniejącym zagrożeniem. Dlatego wnikliwe monitorowanie aktualizacji wydawanych przez dostawców powinno być kluczową częścią bieżących działań łagodzących