Asosiy takliflar
- Hackerlar keng qoʻllaniladigan Java jurnali kutubxonasida ekspluatatsiyani aniqlovchi kodni joylashtirdilar.
- Kiberxavfsizlik xodimlari internet boʻylab ekspluatatsiya qilinadigan serverlar va xizmatlarni qidirayotganini payqashdi.
-
Kiberxavfsizlik va infratuzilma xavfsizligi agentligi (CISA) sotuvchilar va foydalanuvchilarni dasturiy ta'minot va xizmatlarini zudlik bilan tuzatishga va yangilashga chaqirdi.
Mashhur Java logging kutubxonasi Log4j-da osonlik bilan foydalaniladigan zaiflik tufayli kiberxavfsizlik manzarasi yonib ketdi. U har bir mashhur dasturiy ta'minot va xizmatlar tomonidan qo'llaniladi va, ehtimol, kundalik ish stoli va smartfon foydalanuvchilariga ta'sir qila boshlagan.
Kiberxavfsizlik boʻyicha mutaxassislar Log4j ekspluatidan Minecraft serverlaridan foydalanishdan tortib, Apple iCloud’ga taʼsir qilishi mumkin boʻlgan yuqori darajadagi muammolargacha boʻlgan turli xil holatlarni koʻrishmoqda.
"Ushbu Log4j zaifligi asta-sekin pasayish effektiga ega bo'lib, ushbu komponentdan ilovalar paketining bir qismi sifatida foydalanishi mumkin bo'lgan barcha yirik dasturiy ta'minot provayderlariga ta'sir qiladi ", dedi Jon Hammond, Huntress kompaniyasining xavfsizlik bo'yicha katta tadqiqotchisi Lifewire'ga elektron pochta orqali. "Xavfsizlik hamjamiyati Apple, Twitter, Tesla [va] Cloudflare kabi boshqa texnologiya ishlab chiqaruvchilarining zaif ilovalarini aniqladi. Aytganimizdek, sanoat hali ham keng hujum maydonini o'rganmoqda va bu zaiflik paydo bo'lishi xavfi mavjud."
Teshikdagi olov
CVE-2021-44228 sifatida kuzatilgan va Log4Shell deb nomlangan zaiflik umumiy zaiflikni baholash tizimida (CVSS) eng yuqori jiddiylik balliga ega - 10.
GreyNoise ilovasi xavfsizlik signallarini olish uchun internet-trafikni tahlil qildi, birinchi marta 2021-yil 9-dekabrda ushbu zaiflik faolligini kuzatdi. Oʻshanda qurollangan kontseptsiyani isbotlovchi ekspluatatsiyalar (PoC) paydo boʻla boshladi. 2021-yil 10-dekabrda va dam olish kunlarida skanerlash va ommaviy foydalanish tezligining tez ortishi.
Log4j keng koʻlamli DevOps ramkalari va korporativ IT tizimlariga hamda oxirgi foydalanuvchi dasturiy taʼminotiga va mashhur bulutli ilovalarga qattiq integratsiyalangan.
Zaiflikning jiddiyligini tushuntirar ekan, CloudSEK tahdidlar boʻyicha tahlilchisi Anirudh Batra Lifewire’ga elektron pochta orqali tahdid aktyori undan uzoq serverda kod ishlatish uchun foydalanishi mumkinligini aytdi.
"Bu hatto Minecraft kabi mashhur oʻyinlarni ham himoyasiz qoldirdi. Buzgʻunchi undan faqat foydali yukni chat qutisiga joylash orqali foydalanishi mumkin. Nafaqat Minecraft, balki iCloud [va] Steam kabi boshqa mashhur xizmatlar ham himoyasiz, " Batra tushuntirib, “iPhone’dagi zaiflikni ishga tushirish qurilma nomini o‘zgartirish kabi oddiy."
Aysberg uchi
Kiberxavfsizlik kompaniyasi Tenable taklifiga koʻra, Log4j bir qator veb-ilovalarga kiritilgani va turli bulut xizmatlari tomonidan qoʻllanilganligi sababli zaiflikning toʻliq koʻlami maʼlum vaqtgacha maʼlum boʻlmaydi.
Kompaniya ta'sirlangan xizmatlarni kuzatuvchi GitHub omboriga ishora qiladi, u yozish paytida o'nga yaqin ishlab chiqaruvchilar va xizmatlar, jumladan Google, LinkedIn, Webex, Blender va yuqorida aytib o'tilgan boshqa mashhurlar ro'yxatini ko'rsatadi.
Biz gapirganimizdek, sanoat hali ham keng hujum maydonini o'rganmoqda va bu zaiflik yuzaga kelishi xavfi mavjud.
Hozirgacha faoliyatning katta qismi skanerlashdan iborat edi, ammo ekspluatatsiya va ekspluatatsiyadan keyingi faoliyatlar ham kuzatilgan.
"Microsoft tanga konchilarni o'rnatish, hisobga olish ma'lumotlarini o'g'irlash va lateral harakatlanishni ta'minlash uchun Cob alt Strike va buzilgan tizimlardan ma'lumotlarni chiqarib tashlash kabi tadbirlarni kuzatdi", deb yozadi Microsoft Threat Intelligence Center.
Lyuklarni pastga tushiring
Shunday ekan, Log4j-dan foydalanish qulayligi va keng tarqalganligi sababli GreyNoise asoschisi va bosh direktori Endryu Morris Lifewire’ga keyingi bir necha kun ichida dushmanlik harakati kuchayishiga ishonishini aytdi.
Yaxshi yangilik shundaki, zaif kutubxonani ishlab chiquvchilari Apache ekspluatatsiyalarni zararsizlantirish uchun yamoq chiqardi. Ammo endi mijozlarni himoya qilish uchun dasturiy taʼminot ishlab chiqaruvchilari oʻzlarining versiyalarini yangilashlari kerak.
Kunal Anand, Imperva kiberxavfsizlik kompaniyasining texnik direktori Lifewirega elektron pochta orqali xabar berishicha, zaiflikdan foydalanadigan raqib kampaniyalarining aksariyati hozirda korporativ foydalanuvchilarga qaratilgan bo'lsa-da, oxirgi foydalanuvchilar hushyor bo'lishlari va ta'sirlangan dasturiy ta'minotini yangilashlariga ishonch hosil qilishlari kerak. yamalar paydo bo'lishi bilanoq.
Bu fikrni Kiberxavfsizlik va infratuzilma xavfsizligi agentligi (CISA) direktori Jen İsterli ham tasdiqladi.
"Oxirgi foydalanuvchilar o'z sotuvchilariga ishonadilar va sotuvchilar hamjamiyati ushbu dasturiy ta'minotdan foydalangan holda mahsulotlarning keng assortimentini darhol aniqlashi, kamaytirishi va tuzatishi kerak. Yakuniy foydalanuvchilar bilishini ta'minlash uchun sotuvchilar o'z mijozlari bilan ham aloqada bo'lishlari kerak. Ularning mahsuloti ushbu zaiflikni o'z ichiga oladi va dasturiy ta'minot yangilanishiga ustuvor ahamiyat berishi kerak ", dedi Easterly bayonot orqali.
