Кризис Log4j продолжается: в библиотеке для Java появились новые уязвимости, произошло более 800 тысяч кибератак

Патчи для Log4j создали новые уязвимости, а на исправление ситуации уйдут годы

• 17 декабря Apache опубликовала внеочередное обновление безопасности Log4j (за номером 2.17.0). Это уже третий срочный релиз библиотеки, вышедший в декабре: два предыдущих патча справились с уязвимостью Log4Shell, но открыли новые бреши в корпоративных системах.
• CVE-2021-45046 позволяла эксплуатировать Log4Shell на серверах под управлением MacOS. Уязвимости в Log4j 2.15.0 подвержены только серверы с нестандартной конфигурацией. Её пока не использовали хакеры, отмечает специалист по кибербезопасности Кевин Бомонт. В других средах попытки провести атаку провалились.
• К моменту публикации статьи интернет-сканер Shodan определяет всего 1113 подходящих серверов, 319 из них находятся в США. В базу аналогичного сервиса ZoomEye за последний год попали более миллиона машин, на которых работает 331 тысяча веб-сайтов.

• С помощью уязвимости CVE-2021-45105 стало возможно провести DDoS-атаку. Уязвимость получила оценку угрозы в 7,5 балла из десяти возможных по шкале CVSS из-за сложности подготовки таких атак.
  
• Проблема срочных обновлений хорошо известна разработчикам: патчи к уязвимому ПО часто не решают вопросы безопасности, а наоборот, создают новые угрозы, подчёркивают в ИТ-компании N-able. Перед установкой обновлений следует протестировать их в виртуальной машине, а перед изменением действующей инфраструктуры — сделать резервную копию ПО. Многие компании по-прежнему игнорируют обновления, подчёркивают в компании.
• На фоне этих обсуждений группа кибербезопасности Google выяснила, что Log4Shell затрагивает порядка 36 тысяч пакетов, загруженных в Maven Central — крупнейший репозиторий библиотек для Java. На исправление всех уязвимых компонентов, связанных с Log4j, уйдут годы, отмечают в компании.

Хакерские атаки продолжаются

• Попытки эксплуатации серверов бигтеха и госорганов в разных странах продолжаются, несмотря на вышедшие патчи и большое количество рекомендаций. По данным на 13 декабря, компания Check Point Technologies зафиксировала более 800 тысяч кибератак, эксплуатирующих Log4Shell. Хакеры активно экспериментируют с эксплоитами, ранее попавшими в свободный доступ, и переписывают их, чтобы реализовать новые сценарии атак, объясняют в компании.
• Так, группа киберпреступников Conti с помощью Log4Shell распространяет вредоносное ПО для получения выкупа. Целью хакеров стали серверы и системы виртуализации VMware. Иранская группировка Phosphorus и китайская Hafnium действуют аналогичным образом, но ищут уязвимые облачные серверы и атакуют службы DNS, пишет Microsoft.
• По данным китайской компании Netlab 360, к 13 декабря Log4Shell и её модификации используют не менее десяти хакерских групп из разных стран. Компания определила список стран проживания злоумышленников по их IP-адресам: лидерами антирейтинга стали Германия, Нидерланды, Китай, США и Великобритания. Попытки эксплуатации уязвимости замечены с 12 российских IP-адресов.
• 20 декабря Минобороны Бельгии заявило об отключении части государственных серверов из-за попыток взлома государственных сетей с помощью Log4Shell.

Киберпреступники возможно тестируют «червя» для автоматизации взломов

• В твиттере продолжают спорить о природе и инструментарии декабрьских кибератак с помощью Log4Shell. 19 декабря исследователь информационной безопасности Герман Фернандез обнаружил, что хакеры модифицировали ПО для создания ботнетов Mirai и создали червя Log4Shell. Вредоносная программа сканирует сеть и заражает все найденные серверы с уязвимыми версиями Log4j вредоносным ПО. Впоследствии заражённые серверы могут образовать крупный ботнет.

• Некоторые специалисты по информационной безопасности отнеслись к открытию Фернандеза скептически: Грэг Линарес добавил, что червь, вероятно, угрожает только незащищённым роутерам марки Huawei, а Маркус Хатчинс назвал нового червя «неэффективным» и заявил, что он «вообще не работает».

Лично я не назвал эту программу «червём», поскольку на самом деле она не размножается самостоятельно. Программа только рассылает строки эксплоита JNDI, в которые закодирован LDAP-сервер (компонент для доступа к удалённым каталогам — объясняет TJ). Уязвимые системы получат запрос на подключение к серверу LDAP, который и будет осуществлять эксплуатацию. Это [не червь, а] программа для управляемого сканирования.

Маркус Хатчинс

• Том Келлерман, глава отдела стратегии по кибербезопасности VMware, отметил в беседе с ZDNet, что для создания работоспособного червя требуется высокая квалификация, которой могут обладать разведывательные службы иностранных государств враждебных США.
  
• При этом исследователи информационной безопасности пока знают только об одной политически мотивированной Log4Shell-атаке. Хакерская группа из Ирана Charming Kitten («Очаровательный котёнок» с английского), также известная как APT-35, 15 декабря пыталась получить доступ к критической инфраструктуре государства Израиль.
• На момент публикации этого материала Log4Shell и связанные уязвимости используют в основном финансово мотивированные преступные группы, в том числе создатели шифровальщика Khonsari и майнера XMRIG, операторы банковских троянов и похитители криптовалюты, объясняет Gizmodo.