Mga Key Takeaway
- Nag-post ang mga hacker ng code na nagpapakita ng pagsasamantala sa isang malawakang ginagamit na Java logging library.
- Napansin ng mga cybersecurity sleuth ang malawakang pag-scan sa web na naghahanap ng mga mapagsamantalang server at serbisyo.
-
Hinihikayat ng Cybersecurity and Infrastructure Security Agency (CISA) ang mga vendor at user na i-patch at i-update kaagad ang kanilang software at mga serbisyo.
Ang cybersecurity landscape ay naglalagablab dahil sa isang madaling mapagsamantalang kahinaan sa isang sikat na Java logging library, Log4j. Ginagamit ito ng bawat sikat na software at serbisyo at marahil ay nagsimula na itong makaapekto sa pang-araw-araw na gumagamit ng desktop at smartphone.
Nakikita ng mga eksperto sa cybersecurity ang iba't ibang uri ng mga kaso ng paggamit para sa pagsasamantala sa Log4j na nagsisimula nang lumabas sa dark web, mula sa pagsasamantala sa mga server ng Minecraft hanggang sa higit pang mga isyung may mataas na profile na pinaniniwalaan nilang posibleng makaapekto sa Apple iCloud.
"Ang kahinaan sa Log4j na ito ay may trickle-down effect, na nakakaapekto sa lahat ng malalaking software provider na maaaring gumamit ng bahaging ito bilang bahagi ng kanilang application packing, " sinabi ni John Hammond, Senior Security Researcher sa Huntress, sa Lifewire sa pamamagitan ng email. "Natuklasan ng komunidad ng seguridad ang mga mahihinang aplikasyon mula sa iba pang mga tagagawa ng teknolohiya tulad ng Apple, Twitter, Tesla, [at] Cloudflare, bukod sa iba pa. Habang nagsasalita tayo, ginagalugad pa rin ng industriya ang malawak na pag-atake at may panganib na dulot ng kahinaang ito."
Sunog sa Hole
Ang vulnerability na sinusubaybayan bilang CVE-2021-44228 at tinawag na Log4Shell, ay may pinakamataas na severity score na 10 sa common vulnerability scoring system (CVSS).
GreyNoise, na nagsusuri ng trapiko sa Internet upang kunin ang mga signal ng seguridad, ang unang naobserbahang aktibidad para sa kahinaang ito noong Disyembre 9, 2021. Noon nagsimulang lumitaw ang weaponized proof-of-concept exploits (PoCs), na humahantong sa isang mabilis na pagtaas ng pag-scan at pampublikong pagsasamantala noong Disyembre 10, 2021, at hanggang sa katapusan ng linggo.
Ang Log4j ay lubos na isinama sa isang malawak na hanay ng mga DevOps frameworks at enterprise IT system at sa end-user software at sikat na cloud application.
Ipinapaliwanag ang kalubhaan ng kahinaan, sinabi ni Anirudh Batra, isang threat analyst sa CloudSEK, sa Lifewire sa pamamagitan ng email na maaaring samantalahin ito ng isang threat actor para magpatakbo ng code sa isang malayuang server.
"Ito ay nag-iwan kahit na ang mga sikat na laro tulad ng Minecraft na mahina din. Maaaring pagsamantalahan ito ng isang attacker sa pamamagitan lamang ng pag-post ng payload sa chatbox. Hindi lamang Minecraft, ngunit ang iba pang sikat na serbisyo tulad ng iCloud [at] Steam ay masusugatan din, " Ipinaliwanag ni Batra, at idinagdag na "ang pag-trigger ng kahinaan sa isang iPhone ay kasing simple ng pagpapalit ng pangalan ng device."
Tip of the Iceberg
Cybersecurity company Tenable ay nagmumungkahi na dahil ang Log4j ay kasama sa ilang mga web application, at ginagamit ng iba't ibang mga serbisyo sa cloud, ang buong saklaw ng kahinaan ay hindi malalaman sa loob ng ilang panahon.
Ang kumpanya ay tumuturo sa isang GitHub repository na sumusubaybay sa mga naapektuhang serbisyo, na sa oras ng pagsulat ay naglista ng mga tatlong dosenang mga manufacturer at serbisyo, kabilang ang mga sikat tulad ng Google, LinkedIn, Webex, Blender, at iba pang nabanggit kanina.
Habang nagsasalita tayo, ginagalugad pa rin ng industriya ang malawak na pag-atake at panganib na dulot ng kahinaang ito.
Hanggang ngayon, ang karamihan sa aktibidad ay nag-i-scan, ngunit ang mga aktibidad sa pagsasamantala at pagkatapos ng pagsasamantala ay nakita din.
"Naobserbahan ng Microsoft ang mga aktibidad kabilang ang pag-install ng mga minero ng barya, Cob alt Strike upang paganahin ang pagnanakaw ng kredensyal at paggalaw sa gilid, at pag-exfiltrate ng data mula sa mga nakompromisong system," isinulat ng Microsoft Threat Intelligence Center.
Batten Down the Hatches
Hindi nakakagulat, kung gayon, na dahil sa kadalian ng pagsasamantala at paglaganap ng Log4j, sinabi ni Andrew Morris, Founder at CEO ng GreyNoise, sa Lifewire na naniniwala siyang patuloy na tataas ang masamang aktibidad sa susunod na mga araw.
Ang magandang balita, gayunpaman, ay ang Apache, ang mga developer ng vulnerable library, ay nag-isyu ng patch upang i-neuter ang mga pagsasamantala. Ngunit nasa mga indibidwal na gumagawa ng software na ngayon ang pag-patch up ng kanilang mga bersyon para protektahan ang kanilang mga customer.
Kunal Anand, CTO ng cybersecurity company na Imperva, ay nagsabi sa Lifewire sa pamamagitan ng email na habang karamihan sa adversarial campaign na nagsasamantala sa kahinaan ay kasalukuyang nakadirekta sa mga user ng enterprise, ang mga end-user ay kailangang manatiling mapagbantay at tiyaking i-update nila ang kanilang apektadong software sa sandaling available na ang mga patch.
Ang sentimyento ay ipinahayag ni Jen Easterly, Direktor sa Cybersecurity and Infrastructure Security Agency (CISA).
"Magiging aasa ang mga end user sa kanilang mga vendor, at ang komunidad ng vendor ay dapat na agad na tukuyin, pagaanin, at i-patch ang malawak na hanay ng mga produkto gamit ang software na ito. Dapat ding makipag-ugnayan ang mga vendor sa kanilang mga customer upang matiyak na alam ng mga end-user na ang kanilang produkto ay naglalaman ng ganitong kahinaan at dapat unahin ang mga update sa software, " sabi ni Easterly sa pamamagitan ng isang pahayag.
