Belangrijkste afhaalrestaurants
- Hackers hebben een code gepost die een exploit onthult in een veelgebruikte Java-logboekbibliotheek.
- Cybersecurity-speurneuzen merkten massale scans op internet op op zoek naar exploiteerbare servers en services.
-
De Cybersecurity and Infrastructure Security Agency (CISA) heeft er bij leveranciers en gebruikers op aangedrongen hun software en diensten dringend te patchen en bij te werken.
Het cyberbeveiligingslandschap staat in vuur en vlam vanwege een gemakkelijk te misbruiken kwetsbaarheid in een populaire Java-logboekbibliotheek, Log4j. Het wordt gebruikt door elke populaire software en service en heeft misschien al gevolgen voor de dagelijkse desktop- en smartphonegebruiker.
Cybersecurity-experts zien een breed scala aan gebruiksscenario's voor de Log4j-exploit die al op het dark web verschijnen, variërend van het exploiteren van Minecraft-servers tot meer spraakmakende problemen waarvan ze denken dat ze mogelijk van invloed kunnen zijn op Apple iCloud.
"Deze Log4j-kwetsbaarheid heeft een trickle-down-effect en heeft gevolgen voor alle grote softwareleveranciers die dit onderdeel zouden kunnen gebruiken als onderdeel van hun applicatieverpakking", vertelde John Hammond, Senior Security Researcher bij Huntress, via e-mail aan Lifewire. "De beveiligingsgemeenschap heeft kwetsbare applicaties ontdekt van andere technologiefabrikanten zoals Apple, Twitter, Tesla en Cloudflare. Op dit moment onderzoekt de industrie nog steeds het enorme aanvalsoppervlak en loopt het risico dat deze kwetsbaarheid met zich meebrengt."
Vuur in het gat
De kwetsbaarheid die wordt gevolgd als CVE-2021-44228 en Log4Shell wordt genoemd, heeft de hoogste score voor de ernst van 10 in het Common Kwetsbaarheidsscoresysteem (CVSS).
GreyNoise, dat internetverkeer analyseert om belangrijke beveiligingssignalen op te pikken, heeft op 9 december 2021 voor het eerst activiteit voor deze kwetsbaarheid waargenomen. snelle toename van scannen en openbare exploitatie op 10 december 2021 en in het weekend.
Log4j is sterk geïntegreerd in een brede set van DevOps-frameworks en enterprise IT-systemen en in software voor eindgebruikers en populaire cloudapplicaties.
Anirudh Batra, een bedreigingsanalist bij CloudSEK, legt de ernst van het beveiligingslek uit en vertelt Lifewire via e-mail dat een bedreigingsactor het zou kunnen misbruiken om code op een externe server uit te voeren.
"Dit heeft zelfs populaire games zoals Minecraft kwetsbaar gemaakt. Een aanvaller kan het misbruiken door een payload in de chatbox te plaatsen. Niet alleen Minecraft, maar ook andere populaire services zoals iCloud [en] Steam zijn ook kwetsbaar," Batra legde uit en voegde eraan toe dat "het activeren van de kwetsbaarheid in een iPhone net zo eenvoudig is als het veranderen van de naam van het apparaat."
Tip van de ijsberg
Cyberbeveiligingsbedrijf Tenable suggereert dat omdat Log4j is opgenomen in een aantal webapplicaties en wordt gebruikt door een verscheidenheid aan cloudservices, de volledige omvang van de kwetsbaarheid pas over enige tijd bekend zal zijn.
Het bedrijf verwijst naar een GitHub-repository die de getroffen services volgt, die op het moment van schrijven een lijst bevat van ongeveer drie dozijn fabrikanten en services, waaronder populaire zoals Google, LinkedIn, Webex, Blender en anderen die eerder zijn genoemd.
Op dit moment onderzoekt de industrie nog steeds het enorme aanvalsoppervlak en loopt het risico dat deze kwetsbaarheid met zich meebrengt.
Tot nu toe is de overgrote meerderheid van de activiteiten gescand, maar er zijn ook exploitatie- en post-exploitatie-activiteiten waargenomen.
"Microsoft heeft activiteiten waargenomen, waaronder het installeren van muntmijnwerkers, Cob alt Strike om diefstal van inloggegevens en zijwaartse beweging mogelijk te maken, en het exfiltreren van gegevens uit gecompromitteerde systemen", schrijft het Microsoft Threat Intelligence Center.
Maak de luiken dicht
Het is dan ook geen verrassing dat, vanwege het gemak van uitbuiting en de prevalentie van Log4j, Andrew Morris, oprichter en CEO van GreyNoise, Lifewire vertelt dat hij gelooft dat de vijandige activiteit de komende dagen zal blijven toenemen.
Het goede nieuws is echter dat Apache, de ontwikkelaars van de kwetsbare bibliotheek, een patch heeft uitgegeven om de exploits te neutraliseren. Maar het is nu aan individuele softwaremakers om hun versies op te knappen om hun klanten te beschermen.
Kunal Anand, CTO van cyberbeveiligingsbedrijf Imperva, vertelt Lifewire via e-mail dat hoewel de meeste vijandige campagnes die misbruik maken van de kwetsbaarheid momenteel gericht zijn op zakelijke gebruikers, eindgebruikers waakzaam moeten blijven en ervoor moeten zorgen dat ze hun getroffen software updaten zodra patches beschikbaar zijn.
Het sentiment werd gedeeld door Jen Easterly, directeur bij de Cybersecurity and Infrastructure Security Agency (CISA).
"Eindgebruikers zullen afhankelijk zijn van hun leveranciers en de leveranciersgemeenschap moet het brede scala aan producten die deze software gebruiken onmiddellijk identificeren, verminderen en patchen. Verkopers moeten ook communiceren met hun klanten om ervoor te zorgen dat eindgebruikers weten dat hun product deze kwetsbaarheid bevat en prioriteit moet geven aan software-updates, "zei Easterly via een verklaring.
