9 grudnia ujawniono poważną lukę w Log4j, bibliotece Apache powszechnie używanej przez twórców aplikacji internetowych i mobilnych. Firma Sophos wykryła już setki tysięcy prób ataków wykorzystujących tę podatność, m.in. z pomocą kryptominerów, czyli złośliwych programów służących do kopania kryptowalut. Według badaczy cyberprzestępcy będą w najbliższych tygodniach intensyfikowali działania i wykorzystywali lukę m.in. do ataków ransomware. Zagrożone mogą być setki tysięcy firm na całym świecie.
Nowe rodzaje ataków na horyzoncie
Luka nazwana Log4Shell umożliwia cyberprzestępcom zdalne wykonanie kodu, zainstalowanie złośliwego oprogramowania na urządzeniu ofiary, a nawet uzyskanie kontroli nad jej systemem. Na początku cyberprzestępcy wykorzystywali ją głównie w atakach przeprowadzanych za pomocą kryptominerów i botnetów. Badacze Sophos zaobserwowali także próby kradzieży danych z niektórych usług – m.in. kluczy do kont Amazon Web Services.
– Dostępne informacje sugerują, że luka mogła być wykorzystywana nawet przez tygodnie przed jej publicznym ujawnieniem. Przestępcy stosują różne techniki maskowania swoich złośliwych działań, aby oszukać programy ochronne. Zaczęli od kopania kryptowalut, ale wkrótce prawdopodobnie zaczną intensyfikować i zmieniać swoje metody. Pojawią się kolejne rodzaje ataków takie jak ransomware, które polegają na szyfrowaniu danych i żądaniu okupu za ich odblokowanie – wskazuje Grzegorz Nocoń, inżynier systemowy w firmie Sophos.
Trudności w znalezieniu luki
Powszechne wykorzystanie biblioteki Log4j w usługach i aplikacjach sprawia, że luka Log4Shell jest wyjątkowo trudna do wykrycia i załatania. Wiele podatności ogranicza się do konkretnych produktów lub platformy – np. luka ProxyLogon i ProxyShell w Microsoft Exchange. Jednak Log4Shell dotyczy oprogramowania, które jest wykorzystywane przez wiele rozwiązań i produktów. Może więc być obecna w wielu miejscach firmowych sieci i systemów, nawet w oprogramowaniu tworzonym na użytek wewnętrzny.
– Podstawowym sposobem ochrony firmowych systemów jest zainstalowanie najnowszej aktualizacji udostępnionej przez Apache: Log4j 2.15.0. Może to jednak nie być takie łatwe, szczególnie jeśli przedsiębiorstwo nie wie, gdzie wykorzystywana jest biblioteka. Dlatego równie ważne jest znalezienie wszystkich systemów, które mogą być podatne na atak z wykorzystaniem luki Log4Shell. Osoby odpowiedzialne za bezpieczeństwo powinny dokładnie śledzić zdarzenia w swojej sieci, aby móc wykryć i usunąć wszelkie podejrzane incydenty. Firmy powinny też pamiętać o konieczności stosowania rozwiązań, które chronią przed wykorzystaniem luk w zabezpieczeniach przez przestępców – radzi Grzegorz Nocoń.