Технологии
Илья Шевелев

Кризис Log4j продолжается: в библиотеке для Java появились новые уязвимости, произошло более 800 тысяч кибератак

Хакеры создают ботнеты, модифицируют банковские трояны и пытаются написать «червей», пока компании экстренно обновляют ПО.

«Народный» логотип уязвимости Log4Shell  Wikipedia

Кризис в IT-отрасли, который в начале декабря спровоцировала уязвимость в библиотеке Log4j, продолжается. Компании выпускают патчи и обновляют серверное ПО, но даже такие меры безопасности не могут предотвратить возможную утечку данных технокомпаний, пишет Gizmodo.

Патчи для Log4j создали новые уязвимости, а на исправление ситуации уйдут годы

  • 17 декабря Apache опубликовала внеочередное обновление безопасности Log4j (за номером 2.17.0). Это уже третий срочный релиз библиотеки, вышедший в декабре: два предыдущих патча справились с уязвимостью Log4Shell, но открыли новые бреши в корпоративных системах.
  • CVE-2021-45046 позволяла эксплуатировать Log4Shell на серверах под управлением MacOS. Уязвимости в Log4j 2.15.0 подвержены только серверы с нестандартной конфигурацией. Её пока не использовали хакеры, отмечает специалист по кибербезопасности Кевин Бомонт. В других средах попытки провести атаку провалились.
  • К моменту публикации статьи интернет-сканер Shodan определяет всего 1113 подходящих серверов, 319 из них находятся в США. В базу аналогичного сервиса ZoomEye за последний год попали более миллиона машин, на которых работает 331 тысяча веб-сайтов.
https://tjournal.ru/post/493707
  • С помощью уязвимости CVE-2021-45105 стало возможно провести DDoS-атаку. Уязвимость получила оценку угрозы в 7,5 балла из десяти возможных по шкале CVSS из-за сложности подготовки таких атак.
  • Проблема срочных обновлений хорошо известна разработчикам: патчи к уязвимому ПО часто не решают вопросы безопасности, а наоборот, создают новые угрозы, подчёркивают в ИТ-компании N-able. Перед установкой обновлений следует протестировать их в виртуальной машине, а перед изменением действующей инфраструктуры — сделать резервную копию ПО. Многие компании по-прежнему игнорируют обновления, подчёркивают в компании.
  • На фоне этих обсуждений группа кибербезопасности Google выяснила, что Log4Shell затрагивает порядка 36 тысяч пакетов, загруженных в Maven Central — крупнейший репозиторий библиотек для Java. На исправление всех уязвимых компонентов, связанных с Log4j, уйдут годы, отмечают в компании.

Хакерские атаки продолжаются

  • Попытки эксплуатации серверов бигтеха и госорганов в разных странах продолжаются, несмотря на вышедшие патчи и большое количество рекомендаций. По данным на 13 декабря, компания Check Point Technologies зафиксировала более 800 тысяч кибератак, эксплуатирующих Log4Shell. Хакеры активно экспериментируют с эксплоитами, ранее попавшими в свободный доступ, и переписывают их, чтобы реализовать новые сценарии атак, объясняют в компании.
  • Так, группа киберпреступников Conti с помощью Log4Shell распространяет вредоносное ПО для получения выкупа. Целью хакеров стали серверы и системы виртуализации VMware. Иранская группировка Phosphorus и китайская Hafnium действуют аналогичным образом, но ищут уязвимые облачные серверы и атакуют службы DNS, пишет Microsoft.
  • По данным китайской компании Netlab 360, к 13 декабря Log4Shell и её модификации используют не менее десяти хакерских групп из разных стран. Компания определила список стран проживания злоумышленников по их IP-адресам: лидерами антирейтинга стали Германия, Нидерланды, Китай, США и Великобритания. Попытки эксплуатации уязвимости замечены с 12 российских IP-адресов.
  • 20 декабря Минобороны Бельгии заявило об отключении части государственных серверов из-за попыток взлома государственных сетей с помощью Log4Shell.

Киберпреступники возможно тестируют «червя» для автоматизации взломов

  • В твиттере продолжают спорить о природе и инструментарии декабрьских кибератак с помощью Log4Shell. 19 декабря исследователь информационной безопасности Герман Фернандез обнаружил, что хакеры модифицировали ПО для создания ботнетов Mirai и создали червя Log4Shell. Вредоносная программа сканирует сеть и заражает все найденные серверы с уязвимыми версиями Log4j вредоносным ПО. Впоследствии заражённые серверы могут образовать крупный ботнет.
  • Некоторые специалисты по информационной безопасности отнеслись к открытию Фернандеза скептически: Грэг Линарес добавил, что червь, вероятно, угрожает только незащищённым роутерам марки Huawei, а Маркус Хатчинс назвал нового червя «неэффективным» и заявил, что он «вообще не работает».

Лично я не назвал эту программу «червём», поскольку на самом деле она не размножается самостоятельно. Программа только рассылает строки эксплоита JNDI, в которые закодирован LDAP-сервер (компонент для доступа к удалённым каталогам — объясняет TJ). Уязвимые системы получат запрос на подключение к серверу LDAP, который и будет осуществлять эксплуатацию. Это [не червь, а] программа для управляемого сканирования.

Маркус Хатчинс
  • Том Келлерман, глава отдела стратегии по кибербезопасности VMware, отметил в беседе с ZDNet, что для создания работоспособного червя требуется высокая квалификация, которой могут обладать разведывательные службы иностранных государств враждебных США.
  • При этом исследователи информационной безопасности пока знают только об одной политически мотивированной Log4Shell-атаке. Хакерская группа из Ирана Charming Kitten («Очаровательный котёнок» с английского), также известная как APT-35, 15 декабря пыталась получить доступ к критической инфраструктуре государства Израиль.
  • На момент публикации этого материала Log4Shell и связанные уязвимости используют в основном финансово мотивированные преступные группы, в том числе создатели шифровальщика Khonsari и майнера XMRIG, операторы банковских троянов и похитители криптовалюты, объясняет Gizmodo.
* * *

По данным Check Point Software Technologies, в России уязвимость Log4Shell затронула 72% телеком-компаний, 58% производств и 57% предприятий розничной и оптовой торговли. Её воздействию подвержены до 52% корпоративных сетей.

17 декабря хакеры пытались взломать инфраструктуру «Райффайзенбанка», эксплуатируя Log4Shell, писали «Ведомости». По словам двух собеседников издания в службах информационной безопасности российских банков из топ-20, банки узнали об уязвимости незадолго до её официального опубликования в базе 10 декабря, а затем приняли меры по устранению угрозы.

В «Лаборатории Касперского» зафиксировали более 4,5 тысячи атак на российские компании при помощи Log4Shell, писал РБК. При этом в компании Group-IB не выявили ни одного случая, когда подобная атака нанесла существенный ущерб жертве, отмечало издание 3dnews.

C подачи IT-сообщества и СМИ уязвимость Log4Shell попала в мемы.

«Итак, сегодня день патча Log4j... Снова» Log4jmemes

Современная цифровая инфраструктура

Log4Shell, ваша сеть и операторы программ-вымогателей

Строка всевластия

Уязвимость Log4j -> Патч установлен -> Новая уязвимость Log4j

https://tjournal.ru/post/492481

#новости #уязвимости #Log4j #киберпреступность #кибербезопасность