« Jeśli porównamy podatność Log4Shell na tsunami, to nadal jesteśmy w fazie trzęsienia ziemi i czekamy na falę. W ten sposób Philip Rundel, główny inżynier bezpieczeństwa w Check Point, opisuje La Tribune zakres tej luki w zabezpieczeniach komputera, która nie mierzy jej powagi dla ogółu społeczeństwa, ale jest niewątpliwie jedną z najważniejszych rzeczy w tej dekadzie.
Piątek, 10 grudnia, zapowiedział badacz Fatalna wada technologii informacyjnej W nieznanym komponencie oprogramowania Log4j jest obecny na setkach tysięcy komputerów. Ta słabość, natychmiast ochrzczona «Log4Shell», wywołał prawdziwy zamęt w społeczeństwie, który trwa do dziś.
„Log4j jest wszędzie”
Cel pakowania? Napraw błędy komponentów za pomocą aktualizacji, zanim złośliwi hakerzy będą mogli je wykorzystać. I nie bez powodu: Log4Shell pozwala atakującemu na wdrożenie ogromnego arsenału złośliwych narzędzi przeciwko swojej ofierze. Ale zorganizowanie tej kampanii modernizacyjnej jest bardziej skomplikowane, niż się wydaje. Wynik: o luce należy mówić przez kilka następnych tygodni, jeśli nie dłużej.
« W gospodarce internetowej każdy w dużej mierze polega na gromadzeniu informacji. W piątek ci, którzy jeszcze nie wiedzieli, że duża część zebranych informacji została przetworzona przez komponent oprogramowania Log4j. „” — mówi Tribune Erica Koivonen, szefowa działu bezpieczeństwa w firmie F-Secure. Podążać:
« Gdyby luka dotyczyła rzadko używanego komponentu, nie miałoby to znaczenia: szybko dowiedzieliśmy się, kogo dotyczy i wydalibyśmy ukierunkowane poprawki, które są łatwe do wdrożenia. Problem w tym, że Log4j jest wszechobecny, więc jesteśmy świadkami pandemii. »
Firmy w ciemności
Zagadka wynikająca z wady sięga dalej: większość firm nie zna dokładnej listy komponentów używanego oprogramowania. Podobnie jak Lego, każdy program składa się z setek, a nawet tysięcy części. Jeśli użytkownik nie złoży go sam, nie będzie wiedział, która część znajduje się w centrum konstrukcji. Podobnie, gdyby poprzedni programiści go skompilowali, nowi programiści niekoniecznie znaliby dokładną konfigurację oprogramowania. Ponieważ każda firma korzysta z dziesiątek, jeśli nie setek oprogramowania, pojawia się pytanie „Gdzie jest Log4j?” zwielokrotniać.
Aby naprawić tę sytuację, niektóre instytucje zaczęły: Utwórz listy Spośród wszystkich programów, które były podatne na Log4Shell. Ale te spisy są obecnie tylko częściowe.
„Log4j jest wbudowany w wiele programów i sam jest rozpowszechniany na wszystkich rodzajach urządzeń, od serwerów internetowych po podłączone urządzenia, i nikt tak naprawdę nie przejmował się jego istnieniem. Musisz więc zagłębić się w warstwy oprogramowania, aby zobaczyć to. Philip Rondell obfituje. „Obecnie wykonywane odwołania ludzkie powinny znaleźć 20-30% urządzeń, ale wtedy będziemy musieli zautomatyzować wyszukiwanie, aby znaleźć resztę. » diagnozy.
Luka bardzo łatwa do wykorzystania przez cyberprzestępców
Po opublikowaniu luki większość głównych wydawców oprogramowania przeanalizowała kod swoich produktów, aby sprawdzić obecność lub nieobecność Log4j. Ale nie tylko oni zaczęli: cyberprzestępcy również natychmiast zaczęli masowo skanować Internet w poszukiwaniu podatnych na ataki instancji Log4j. Trzeba powiedzieć, że wada ta oprócz tego, że jest powszechna, ma jeszcze jedną zaletę, którą wybierają atakujący.
« Jest bardzo łatwy w użyciu, a dowody koncepcji i zestawy exploitów są szybko umieszczane w Internecie. W rezultacie atakujący nie musi nawet wiedzieć, jak działa luka, aby ją wykorzystać. „,” zauważa Felix Emmy, analityk Sekoia, w wywiadzie dla La Tribune.
Konkretnie wystarczy, że hakerzy wyślą do Log4j polecenie składające się z około dwudziestu znaków, aby uruchomić pobieranie złośliwego oprogramowania, bez powiadamiania ofiary. Ta manipulacja może zostać wykryta lub zablokowana przez obronę celu, ale nie każdy ma odpowiedni poziom bezpieczeństwa, aby się jej oprzeć, zwłaszcza że napastnicy nieustannie wprowadzają innowacje, aby prześlizgnąć się przez szczeliny.
« W mniej niż 72 godziny znaleźliśmy ponad 60 różnych typów luk w zabezpieczeniach, 60 sposobów na ukrycie polecenia, które poprosi o pobranie złośliwego kodu. ”, wyjaśnia Philip Rondell. ” W ciągu pierwszych 3 dni naliczyliśmy 830 000 prób ataków na naszych klientów, co jest bardzo rzadką liczbą ataków w tym okresie. »
Obecnie ta fala ataków rzadko prowadzi do wyraźnych ustępstw i według eksperta Check Point niekoniecznie jest to dobry znak. ” ten Cyberprzestępcy próbują włamać się do jak największej liczby systemów, aby zainstalować tylne drzwi [des accès cachés au système informatique, ndlr]i To pozwoli im wrócić później, aby przeprowadzić ataki. Wolą skupić się na masowym włamaniu, o ile istnieje wiele niezałatanych luk, niż przeprowadzać udane ataki na kilka systemów komputerowych. Ataki zostaną rozpoczęte później. »
Na podstawie opinii Cisco i Cloudflare zgłoszonych przez zarejestrowaćPierwsze ślady exploita Log4Shell pochodzą z 1 grudnia. Innymi słowy, niektórzy złośliwi aktorzy wyprzedzają obrońców o 10 dni, co oznacza, że nawet chroniona i szybko aktualizowana wersja Log4j może zostać zhakowana.
Tsunami jest blisko i będzie trwało długo
Sześć dni po publicznym ujawnieniu luki firmy zajmujące się bezpieczeństwem zaczęły zgłaszać wczesne przykłady udanych ataków. Poniedziałek, BitDefender Odnosi się do nowej rasy oprogramowania ransomware — rodzaju złośliwego oprogramowania zdolnego do sparaliżowania systemu komputerowego — które dostaje się do systemów za pośrednictwem Log4Shell. Microsoft i Mandiant zgłosili to następnego dnia organizacje cyberszpiegowskie (lub „APT” w terminologii) Chińczycy, Irańczycy, Koreańczycy z Północy i Turcy również wykorzystali tę lukę. Z tych wstępnych uwag wyłania się jedna uwaga: Log4Shell interesują wszystkich graczy, od najmłodszych do najbardziej zaawansowanych.
« Sytuacja stanie się krytyczna, gdy duże firmy programistyczne powiedzą, że muszą naprawić błąd w Log4j „, przewiduje Felix Emmy. Inni eksperci podzielają jego tok rozumowania: ponieważ wrażliwe oprogramowanie będzie lepiej wymienione, złośliwi aktorzy – zwłaszcza najbardziej niebezpieczni – będą mogli dokładniej celować w swoje ataki, szukając wersji programu, które nie otrzymały aktualizacji. Ale w tej chwili jest wiele hałasu w związku z kilkoma udanymi atakami: złośliwi aktorzy wysyłają ataki na ślepo, nawet nie wiedząc, czy są one odpowiednie dla urządzenia docelowego. – dodaje ekspert.
Wygląda więc na to, że najgorsze ma dopiero nadejść dla obrońców, którzy w niedalekiej przyszłości mogą stawić czoła fali ataków na rzadko spotykaną skalę. Osoby atakujące ledwo odkryły potencjał luki i powinny odkryć nowe sposoby jej wykorzystania. „Ta luka będzie wykorzystywana przez bardzo długi czas, nawet jeśli niekoniecznie w mniejszych proporcjach niż obecnie. », Pridy Erka Koivonen. Stanie się standardowym narzędziem dla testerów [les auditeurs de cybersécurité, ndlr], a także cyberprzestępcom w nadchodzących latach. »
„Profesjonalne rozwiązywanie problemów. Pragnący być pionierem kulinarnym. Przyjazny miłośnik piwa.”
More Stories
Nigdy więcej haseł, Microsoft obsługuje klucze dostępu: tak to działa
Aktualizacja 10.2.7: Podsumowanie nowości od 8 maja w Dragonflight – World of Warcraft
Dobra oferta – „5-gwiazdkowy” soundbar Sony HT-A5000 za 350,00 EUR (-48%)