«Βιώνουμε σεισμό, αλλά πρέπει να είμαστε προετοιμασμένοι για τσουνάμι»

, Αν συγκρίνουμε την ευπάθεια του log4shell με ένα τσουνάμι, είμαστε ακόμα στη φάση του σεισμού, και περιμένουμε το κύμα. Ο Philip Rondell, ανώτερος αρχιτέκτονας ασφαλείας στο Check Point, περιέγραψε την έκταση αυτού του ελαττώματος ασφάλειας υπολογιστή στο LA Tribune, τη σοβαρότητα του οποίου το ευρύ κοινό δεν μετράει, αλλά είναι αναμφίβολα ένα από τα πιο σημαντικά της δεκαετίας.

Παρασκευή, 10 Δεκεμβρίου, ένας ερευνητής έδωσε στη δημοσιότητα ένα κρίσιμο ελάττωμα πληροφορικής Ένα ελάχιστα γνωστό στοιχείο λογισμικού, το Log4j, βρίσκεται σε εκατοντάδες χιλιάδες υπολογιστές. Αυτή η ευπάθεια βαφτίστηκε αμέσως «log4shell», ξεκίνησε μια πραγματική αναστάτωση στην κοινότητα, η οποία συνεχίζεται από τότε.

5 ερωτήσεις για το «Log4Shell», το ελάττωμα του υπολογιστή που απειλεί χιλιάδες εταιρείες

“Το Log4j είναι παντού”

Σκοπός κινητοποίησης; Διορθώστε τα ελαττώματα των στοιχείων με ενημερώσεις, προτού τα εκμεταλλευτούν κακόβουλοι χάκερ. Και για καλό λόγο: Το Log4Shell επιτρέπει σε έναν εισβολέα να αναπτύξει ένα τεράστιο οπλοστάσιο κακόβουλων εργαλείων εναντίον του θύματός του. Αλλά αυτή η καμπάνια ενημέρωσης είναι πιο περίπλοκη από όσο ακούγεται. Αποτέλεσμα: Η ευπάθεια θα πρέπει να συζητείται για αρκετές εβδομάδες, αν όχι περισσότερο.

, Στην οικονομία του Διαδικτύου, όλοι βασίζονται σε μεγάλο βαθμό στη συλλογή πληροφοριών. Την Παρασκευή, όσοι δεν γνώριζαν ήδη συνειδητοποίησαν ότι ένα μεγάλο μέρος των πληροφοριών που συλλέχθηκαν προέρχονταν από το στοιχείο λογισμικού Log4j. επεξεργάζεται από », λέει στο Tribune Erka Koivunen, επικεφαλής ασφαλείας της F-Secure. και συνεχίστε:

, Εάν η ευπάθεια επηρέαζε ένα στοιχείο που χρησιμοποιείται σπάνια, μπορεί να μην έχει σημασία: θα γνωρίζαμε γρήγορα ποιο επηρεάστηκε και θα είχαμε ξεκινήσει στοχευμένες επισκευές, οι οποίες είναι πιο εύκολο να αναπτυχθούν . Το πρόβλημα είναι ότι το Log4j είναι παντού, και έτσι βλέπουμε ένα πανδημικό φαινόμενο. ,

επιχείρηση στο σκοτάδι

Το παζλ που δημιουργεί το ελάττωμα προχωρά ακόμη περισσότερο: Οι περισσότερες εταιρείες δεν γνωρίζουν την ακριβή λίστα των στοιχείων του λογισμικού που χρησιμοποιούν. Όπως η Lego, κάθε λογισμικό αποτελείται από εκατοντάδες, ακόμη και χιλιάδες, εξαρτήματα. Εάν ο χρήστης δεν το έχει συναρμολογήσει μόνος του, δεν θα γνωρίζει ποιο μέρος βρίσκεται στη μέση της δομής. Ομοίως, οι νεοεισερχόμενοι μπορεί να μην γνωρίζουν απαραίτητα την ακριβή δομή του λογισμικού, εάν οι προηγούμενοι προγραμματιστές το έχουν συναρμολογήσει. Δεδομένου ότι κάθε εταιρεία χρησιμοποιεί δεκάδες, αν όχι εκατοντάδες λογισμικό, το ερώτημα είναι “Πού είναι το Log4j;” πολλαπλασιάζεται.

READ  Πολλές δυνατότητες του macOS Monterey προορίζονται για το Mac M1

Για να ξεπεραστεί αυτή η κατάσταση ξεκινούν κάποια ινστιτούτα φτιάξτε λίστες Όλο το λογισμικό που ήταν ευάλωτο στο Log4Shell. Αλλά αυτές οι απογραφές είναι προς το παρόν μόνο μερικές.

“Το Log4j είναι ενσωματωμένο σε πολύ λογισμικό, που έχει αναπτυχθεί σε όλα τα είδη συσκευών, από διακομιστές ιστού έως συνδεδεμένες συσκευές, και μέχρι τώρα κανείς δεν νοιαζόταν πραγματικά για την παρουσία του. Επομένως, πρέπει να δείτε το λογισμικό. Πρέπει να πάτε πιο βαθιά στο στρώματα. », Philip Rondell σε αφθονία. «Προς το παρόν, η ανθρώπινη αναφορά που γίνεται θα πρέπει να ανιχνεύει το 20 έως 30% των εγκαταστάσεων, αλλά στη συνέχεια πρέπει να αυτοματοποιήσουμε τις αναζητήσεις για να βρούμε τις υπόλοιπες », διαγιγνώσκει.

Ένα ελάττωμα που είναι πολύ εύκολο να το εκμεταλλευτούν οι εγκληματίες του κυβερνοχώρου

Μετά τη δημοσίευση της ευπάθειας, οι περισσότεροι μεγάλοι εκδότες λογισμικού ανέλυσαν τον κώδικα των προϊόντων τους για να επαληθεύσουν την παρουσία ή την απουσία του Log4j. Αλλά δεν ήταν οι μόνοι που άρχισαν να ασχολούνται: Οι κυβερνοεγκληματίες, επίσης, άρχισαν αμέσως να σαρώνουν μαζικά το Διαδίκτυο για ευάλωτες περιπτώσεις Log4j. Πρέπει να πούμε ότι εκτός από ευρέως διαδεδομένο, το ελάττωμα παρουσιάζει μια άλλη ιδιότητα επιλογής για τους επιτιθέμενους.

, Είναι πολύ εύκολο στη χρήση, καθώς οι αποδείξεις της ιδέας και τα κιτ εκμετάλλευσης κυκλοφόρησαν γρήγορα στο διαδίκτυο. Ως αποτέλεσμα, ο εισβολέας δεν χρειάζεται καν να γνωρίζει πώς λειτουργεί η ευπάθεια για να την εκμεταλλευτεί. », σημειώνει ο Felix Ame, αναλυτής της Sequoia, σε συνέντευξή του στη La Tribune.

Με απλά λόγια, αρκεί οι χάκερ να στείλουν μια εντολή περίπου είκοσι χαρακτήρων στο log4j για να ενεργοποιήσουν τη λήψη κακόβουλου λογισμικού χωρίς να ειδοποιήσουν το θύμα. Αυτή η χειραγώγηση μπορεί να ανιχνευθεί ή να αποκλειστεί από την άμυνα του στόχου, αλλά δεν έχουν όλοι το επίπεδο ασφάλειας για να την αντιμετωπίσουν, ειδικά επειδή οι επιτιθέμενοι συνεχώς καινοτομούν για να γλιστρήσουν μέσα από τις ρωγμές.

READ  Ο SSERAFIM απαντά σε ερωτήσεις σχετικά με φήμες που στοχεύουν την Kim Garam κατά τη διάρκεια της έκθεσης τους - K-GEN

, Σε λιγότερο από 72 ώρες, βρήκαμε περισσότερες από 60 παραλλαγές της ευπάθειας, δηλαδή 60 τρόπους απόκρυψης εντολών που θα ζητήσουν λήψη κακόβουλου κώδικα. », εξηγεί ο Philipp Rondell. , Καταμετρήσαμε 830.000 απόπειρες επιθέσεων κατά των πελατών μας τις πρώτες τρεις ημέρες, ένας πολύ σπάνιος αριθμός επιθέσεων εκείνη την περίοδο. ,

Προς το παρόν, αυτό το κύμα επιθέσεων έχει ως αποτέλεσμα έναν πολύ σπάνια ορατό οικισμό, κάτι που δεν είναι απαραίτητα καλό σημάδι, σύμφωνα με έναν ειδικό στο Check Point. , Οι εγκληματίες του κυβερνοχώρου προσπαθούν να διεισδύσουν σε όσο το δυνατόν περισσότερα συστήματα για να εγκαταστήσουν κερκόπορτες [des accès cachés au système informatique, ndlr], Κάτι που θα τους επέτρεπε να επιστρέψουν αργότερα για να εξαπολύσουν τις επιθέσεις τους. Προτιμούν να επικεντρώνονται σε μεγάλο βαθμό στα πρωτόκολλα, εφόσον υπάρχουν πολλές μη επιδιορθωμένες ευπάθειες αντί να εξαπολύουν επιτυχημένες επιθέσεις εναντίον λίγων συστημάτων υπολογιστών. Οι επιθέσεις θα ξεκινήσουν αργότερα. ,

Με βάση τα σχόλια που αναφέρθηκαν από τη Cisco και το Cloudflare Ρεκόρ, τα πρώτα ίχνη του exploit του Log4Shell χρονολογούνται από την 1η Δεκεμβρίου. Με άλλα λόγια, ορισμένοι κακόβουλοι ηθοποιοί είναι 10 ημέρες μπροστά από τους αμυντικούς, πράγμα που σημαίνει ότι ακόμη και μια γρήγορα προστατευμένη και ενημερωμένη παρουσία Log4j θα μπορούσε να έχει παραβιαστεί.

Το τσουνάμι έρχεται και θα διαρκέσει για πολύ καιρό

Έξι ημέρες μετά τη δημόσια αποκάλυψη της ευπάθειας, οι εταιρείες ασφαλείας αρχίζουν να αναφέρουν πρώιμα παραδείγματα επιτυχημένων επιθέσεων. Δευτέρα, BitDefender Αναφέρεται σε ένα νέο είδος ransomware –ένα είδος κακόβουλου λογισμικού ικανό να παραλύει συστήματα υπολογιστών– που εισέρχεται στο σύστημα μέσω του log4shell. Την επόμενη μέρα, η Microsoft και η Mandient ανέφεραν ότι οργάνωση κυβερνοκατασκοπείας Οι Κινέζοι, οι Ιρανοί, οι Βορειοκορεάτες και οι Τούρκοι (ή «APT» στην ορολογία) εκμεταλλεύτηκαν επίσης το κενό. Μια παρατήρηση προκύπτει από αυτά τα αρχικά σχόλια: Οι παίκτες όλων των τύπων, από τον πιο μικρό έως τον πιο προηγμένο, ενδιαφέρονται για το Log4Shell.

READ  Το πρόγραμμα εγκατάστασης του MacOS Big Sur δεν μετρά τον αποθηκευτικό χώρο που απαιτείται για την ενημέρωση του Mac

, Η κατάσταση θα γίνει τρομερή όταν μεγάλες εταιρείες λογισμικού πουν ότι χρειάζονται το Log4j. Έπρεπε να διορθώσω το σφάλμα “, εικάζει ο Felix Aime. Το επιχείρημά του συμμερίζονται και άλλοι ειδικοί: καθώς το ευάλωτο λογισμικό θα καταγράφεται καλύτερα, οι κακόβουλοι παράγοντες – ειδικά οι πιο επικίνδυνοι – μπορούν να στοχεύουν τις επιθέσεις τους με μεγαλύτερη ακρίβεια αναζητώντας εκδόσεις του λογισμικού. δεν έλαβε την ενημέρωση.” Αλλά προς το παρόν, μένουν πολλά να φανούν σχετικά με τις λίγες επιτυχημένες επιθέσεις: Κακόβουλοι ηθοποιοί στέλνουν την επίθεση στα τυφλά, χωρίς να γνωρίζουν αν θα ήταν κατάλληλη για τη στοχευμένη συσκευή. », προσθέτει ο ειδικός.

Το χειρότερο σενάριο λοιπόν έρχεται για τους αμυντικούς, οι οποίοι ενδέχεται να αντιμετωπίσουν ένα κύμα επιθέσεων σε σπανιότερη κλίμακα στο άμεσο μέλλον. Οι επιτιθέμενοι μόλις και μετά βίας έχουν εντοπίσει τις δυνατότητες της ευπάθειας και πρέπει να βρουν νέους τρόπους για να το εκμεταλλευτούν. «Αυτή η ευπάθεια θα γίνει αντικείμενο εκμετάλλευσης για πολύ μεγάλο χρονικό διάστημα, αν και σε μικρότερο ποσοστό από ό,τι είναι σήμερα. », πιστώνει η Erka Koivunen. Θα γίνει ένα τυπικό εργαλείο για το Pentester [les auditeurs de cybersécurité, ndlr], καθώς και για τους κυβερνοεγκληματίες για τα επόμενα χρόνια. ,