Хакеры создают ботнеты, модифицируют банковские трояны и пытаются написать «червей», пока компании экстренно обновляют ПО.
Кризис в IT-отрасли, который в начале декабря спровоцировала уязвимость в библиотеке Log4j, продолжается. Компании выпускают патчи и обновляют серверное ПО, но даже такие меры безопасности не могут предотвратить возможную утечку данных технокомпаний, пишет Gizmodo.
Патчи для Log4j создали новые уязвимости, а на исправление ситуации уйдут годы
- 17 декабря Apache опубликовала внеочередное обновление безопасности Log4j (за номером 2.17.0). Это уже третий срочный релиз библиотеки, вышедший в декабре: два предыдущих патча справились с уязвимостью Log4Shell, но открыли новые бреши в корпоративных системах.
- CVE-2021-45046 позволяла эксплуатировать Log4Shell на серверах под управлением MacOS. Уязвимости в Log4j 2.15.0 подвержены только серверы с нестандартной конфигурацией. Её пока не использовали хакеры, отмечает специалист по кибербезопасности Кевин Бомонт. В других средах попытки провести атаку провалились.
- К моменту публикации статьи интернет-сканер Shodan определяет всего 1113 подходящих серверов, 319 из них находятся в США. В базу аналогичного сервиса ZoomEye за последний год попали более миллиона машин, на которых работают 331 тысяча веб-сайтов.
- С помощью уязвимости CVE-2021-45105 стало возможно провести DDoS-атаку. Уязвимость получила оценку угрозы в 7,5 балла из десяти возможных по шкале CVSS из-за сложности подготовки таких атак.
- Проблема срочных обновлений хорошо известна разработчикам: патчи к уязвимому ПО часто не решают вопросы безопасности, а наоборот, создают новые угрозы, подчёркивают в ИТ-компании N-able. Перед установкой обновлений следует протестировать их в виртуальной машине, а перед изменением действующей инфраструктуры — сделать резервную копию ПО. Многие компании по-прежнему игнорируют обновления, подчёркивают в компании.
- На фоне этих обсуждений группа кибербезопасности Google выяснила, что Log4Shell затрагивает порядка 36 тысяч пакетов, загруженных в Maven Central — крупнейший репозиторий библиотек для Java. На исправление всех уязвимых компонентов, связанных с Log4j, уйдут годы, отмечают в компании.
Хакерские атаки продолжаются
- Попытки эксплуатации серверов бигтеха и госорганов в разных странах продолжаются, несмотря на вышедшие патчи и большое количество рекомендаций. По данным на 13 декабря, компания Check Point Technologies зафиксировала более 800 тысяч кибератак, эксплуатирующих Log4Shell. Хакеры активно экспериментируют с эксплоитами, ранее попавшими в свободный доступ, и переписывают их, чтобы реализовать новые сценарии атак, объясняют в компании.
- Так, группа киберпреступников Conti с помощью Log4Shell распространяет вредоносное ПО для получения выкупа. Целью хакеров стали серверы и системы виртуализации VMware. Иранская группировка Phosphorus и китайская Hafnium действуют аналогичным образом, но ищут уязвимые облачные серверы и атакуют службы DNS, пишет Microsoft.
- По данным китайской компании Netlab 360, к 13 декабря Log4Shell и её модификации используют не менее десяти хакерских групп из разных стран. Компания определила список стран проживания злоумышленников по их IP-адресам: лидерами антирейтинга стали Германия, Нидерланды, Китай, США и Великобритания. Попытки эксплуатации уязвимости замечены с 12 российских IP-адресов.
- 20 декабря Минобороны Бельгии заявило об отключении части государственных серверов из-за попыток взлома государственных сетей с помощью Log4Shell.
Киберпреступники возможно тестируют «червя» для автоматизации взломов
- В твиттере продолжают спорить о природе и инструментарии декабрьских кибератак с помощью Log4Shell. 19 декабря исследователь информационной безопасности Герман Фернандез обнаружил, что хакеры модифицировали ПО для создания ботнетов Mirai и создали червя Log4Shell. Вредоносная программа сканирует сеть и заражает все найденные серверы с уязвимыми версиями Log4j вредоносным ПО. Впоследствии заражённые серверы могут образовать крупный ботнет.
- Некоторые специалисты по информационной безопасности отнеслись к открытию Фернандеза скептически: Грэг Линарес добавил, что червь, вероятно, угрожает только незащищённым роутерам марки Huawei, а Маркус Хатчинс назвал нового червя «неэффективным» и заявил, что он «вообще не работает».
Лично я не назвал эту программу «червём», поскольку на самом деле она не размножается самостоятельно. Программа только рассылает строки эксплоита JNDI, в которые закодирован LDAP-сервер (компонент для доступа к удалённым каталогам — объясняет TJ). Уязвимые системы получат запрос на подключение к серверу LDAP, который и будет осуществлять эксплуатацию. Это [не червь, а] программа для управляемого сканирования.
