Key Takeaway
- Penggodam menyiarkan kod yang mendedahkan eksploitasi dalam perpustakaan pengelogan Java yang digunakan secara meluas.
- Petugas keselamatan siber melihat pengimbasan besar-besaran di seluruh web mencari pelayan dan perkhidmatan yang boleh dieksploitasi.
-
Agensi Keselamatan Siber dan Infrastruktur (CISA) telah menggesa vendor dan pengguna untuk menampal dan mengemas kini perisian dan perkhidmatan mereka dengan segera.
Lanskap keselamatan siber berkobar-kobar kerana kerentanan yang mudah dieksploitasi dalam perpustakaan pengelogan Java yang popular, Log4j. Ia digunakan oleh setiap perisian dan perkhidmatan yang popular dan mungkin telah mula menjejaskan desktop dan pengguna telefon pintar setiap hari.
Pakar keselamatan siber melihat pelbagai jenis kes penggunaan untuk eksploitasi Log4j sudah mula muncul di web gelap, bermula daripada mengeksploitasi pelayan Minecraft kepada lebih banyak isu berprofil tinggi yang mereka percaya boleh menjejaskan Apple iCloud.
"Kerentanan Log4j ini mempunyai kesan ke bawah, memberi kesan kepada semua penyedia perisian besar yang mungkin menggunakan komponen ini sebagai sebahagian daripada pembungkusan aplikasi mereka, " John Hammond, Penyelidik Keselamatan Kanan di Huntress, memberitahu Lifewire melalui e-mel. "Komuniti keselamatan telah menemui aplikasi yang terdedah daripada pengeluar teknologi lain seperti Apple, Twitter, Tesla, [dan] Cloudflare, antara lain. Semasa kita bercakap, industri masih meneroka permukaan serangan yang luas dan berisiko yang ditimbulkan oleh kerentanan ini."
Api dalam Lubang
Kerentanan yang dijejaki sebagai CVE-2021-44228 dan digelar Log4Shell, mempunyai skor keterukan tertinggi 10 dalam sistem pemarkahan kerentanan biasa (CVSS).
GreyNoise, yang menganalisis trafik Internet untuk mengambil isyarat keselamatan, aktiviti pertama kali diperhatikan untuk kerentanan ini pada 9 Disember 2021. Pada masa itulah eksploitasi bukti konsep bersenjata (PoC) mula muncul, yang membawa kepada peningkatan pesat pengimbasan dan eksploitasi awam pada 10 Disember 2021, dan sepanjang hujung minggu.
Log4j sangat disepadukan ke dalam set luas rangka kerja DevOps dan sistem IT perusahaan serta dalam perisian pengguna akhir dan aplikasi awan yang popular.
Menjelaskan keterukan kelemahan, Anirudh Batra, seorang penganalisis ancaman di CloudSEK, memberitahu Lifewire melalui e-mel bahawa pelakon ancaman boleh mengeksploitasinya untuk menjalankan kod pada pelayan jauh.
"Ini menyebabkan permainan popular seperti Minecraft juga terdedah. Penyerang boleh mengeksploitasinya hanya dengan menyiarkan muatan dalam kotak sembang. Bukan sahaja Minecraft, tetapi perkhidmatan popular lain seperti iCloud [dan] Steam juga terdedah, " Batra menjelaskan, sambil menambah bahawa "mencetuskan kelemahan dalam iPhone adalah semudah menukar nama peranti."
Tip of the Iceberg
Syarikat Cybersecurity Tenable mencadangkan bahawa kerana Log4j disertakan dalam beberapa aplikasi web dan digunakan oleh pelbagai perkhidmatan awan, skop penuh kerentanan tidak akan diketahui untuk beberapa waktu.
Syarikat itu menunjuk ke repositori GitHub yang menjejaki perkhidmatan yang terjejas, yang pada masa menulis menyenaraikan kira-kira tiga dozen pengeluar dan perkhidmatan, termasuk yang popular seperti Google, LinkedIn, Webex, Blender dan lain-lain yang disebut sebelum ini.
Sedang kita bercakap, industri masih meneroka permukaan serangan yang luas dan berisiko yang ditimbulkan oleh kerentanan ini.
Sehingga kini, sebahagian besar aktiviti telah mengimbas, tetapi aktiviti eksploitasi dan pasca eksploitasi juga telah dilihat.
"Microsoft telah memerhatikan aktiviti termasuk memasang pelombong syiling, Cob alt Strike untuk membolehkan kecurian kelayakan dan pergerakan sisi, dan mengeluarkan data daripada sistem yang terjejas," tulis Pusat Perisikan Ancaman Microsoft.
Batten Down the Hatches
Maka, tidak menghairankan bahawa disebabkan oleh kemudahan eksploitasi dan kelaziman Log4j, Andrew Morris, Pengasas dan Ketua Pegawai Eksekutif GreyNoise, memberitahu Lifewire bahawa dia percaya aktiviti bermusuhan akan terus meningkat dalam beberapa hari akan datang.
Berita baik, walau bagaimanapun, ialah Apache, pembangun perpustakaan yang terdedah, telah mengeluarkan tampalan untuk meneutralkan eksploitasi. Tetapi kini terpulang kepada pembuat perisian individu untuk menampal versi mereka untuk melindungi pelanggan mereka.
Kunal Anand, CTO syarikat keselamatan siber Imperva, memberitahu Lifewire melalui e-mel bahawa walaupun kebanyakan kempen lawan yang mengeksploitasi kerentanan pada masa ini ditujukan kepada pengguna perusahaan, pengguna akhir perlu terus berwaspada dan memastikan mereka mengemas kini perisian mereka yang terjejas sebaik sahaja tampalan tersedia.
Sentimen itu disuarakan oleh Jen Easterly, Pengarah di Agensi Keselamatan Siber dan Infrastruktur (CISA).
"Pengguna akhir akan bergantung pada vendor mereka dan komuniti vendor mesti segera mengenal pasti, mengurangkan dan menampal pelbagai jenis produk menggunakan perisian ini. Vendor juga harus berkomunikasi dengan pelanggan mereka untuk memastikan pengguna akhir tahu bahawa produk mereka mengandungi kelemahan ini dan harus mengutamakan kemas kini perisian, " kata Easterly melalui satu kenyataan.
