“Log4Shell”-sårbarheten i det Java-baserade Log4j-biblioteket, som finns i datorinfrastrukturen hos miljontals företag över hela världen, har kallats “ett designfel av katastrofala proportioner” av säkerhetsforskare eftersom det fortsätter att orsaka problem för Big Tech och vidare.
IT-team runt om i världen försöker införa adekvata säkerhetsåtgärder för att hantera attacken från hotaktörer som vill utnyttja det, och vissa beskriver det som det värsta mjukvarufelet som uppstått i naturen på över ett decennium – och kanske i historien om modern datoranvändning.
Den goda nyheten är att det finns en patch tillgänglig för att minska risken för ditt företag, läs vidare för att ta reda på mer.
Hur upptäcktes Log4Shell-sårbarheten?
Log4Shell är en sårbarhet som finns i loggningsverktyget Log4J 2 med öppen källkod. Det är en sårbarhet under noll dagar, vilket betyder att den har upptäckts nu men utnyttjats under en tid.
Log4J är en del av ett Java-baserat Apache-kodbibliotek som finns i molnservrar, mjukvara och onlinetjänster som används inom alla branscher och regeringar. Som verktyg går, är det ungefär så allestädes närvarande som det kan bli. Globalt har miljontals servrar loggningsverktyget installerat.
“Jag har arbetat inom säkerhet i 30 år och alltid försökt undvika alarmistiska “himlen faller”-positioner. Men nu är det dags för larm – sårbarheten känd som Log4Shell utgör en allvarlig fara för nästan all digital infrastruktur” – Amit Yoran, Tenables vd
Sårbarheten upptäcktes först i spelet Minecraft. Enligt väktarenkunde användare utföra kommandon på andra användares datorer genom att helt enkelt posta ett meddelande i en chattruta.
Varför är det så farligt?
Det som gör utnyttjandet så farligt är kontrollen den kan ge en illvillig aktör över ett givet system, men också för att det är lika lätt att utnyttja i andra miljöer och system som det är i Minecraft.
Log4Shell definieras som en sårbarhet för fjärrkörning av kod, vilket gör att angripare kan köra vilken kod de vill på en påverkad server. Genom att utnyttja sårbarheten kan de komma åt delar av företagets nätverk som inte ens är anslutna till internet.
En specialgjord sträng (data som används för att skapa programvara) behöver bara bearbetas av den sårbara komponenten i Log4J 2, och hackare kan göra detta på distans – vissa kommandon (som cURL) kan användas för att säkerställa att systemet läser strängen.
När en hotaktör väl bryter sig in kan data raderas, stjälas eller ändras, skadlig programvara kan infogas i system och olika andra kategorier av skadlig aktivitet kan äga rum.
Vilka tjänster berörs?
Länder som verkar uppleva attackerna (spåras med hur många försök som blockeras) är USA, Storbritannien, Tyskland och Turkiet.
Företag, produkter och tjänster som har bekräftat att deras system är sårbara för hotet inkluderar Microsoft, Twitter, Tesla, Google, Amazon, IBM, LinkedIn, Baidu, SolarWinds, Zoho, Cisco (inklusive Webex), Atlassian och hundratusentals andra.
Varför får alla panik?
Det olycksbådande svaret är, tyvärr, för att det här är riktigt allvarligt. Inte bara är sårbarheten mycket lätt att exploatera, utan på grund av de beroenden som är kopplade till den kommer det att vara svårt att faktiskt fixa den utan att störa andra delar av ett givet system.
Sårbarheten, oroande nog, är nu helt beväpnad, vilket betyder att hotaktörer inte bara utnyttjar sårbarheten, de distribuerar aktivt verktyg för andra att göra detsamma.
Cybersäkerhetsföretaget Check Point avslöjade på måndagen att det sedan helgen har funnits över 830 000 attacker använder utnyttjandet. Några hackare använder det att komma in i sårbara system och installera skadlig programvara som Kinsing, som kommer att börja bryta efter kryptovaluta när den körs.
Säkerhetsforskare på BitDefender har identifierat utnyttjandet används att ladda system med ransomware från Khonsari ransomware-familjen.
Andra cybersäkerhetsteam har också märkt att sårbarheten utnyttjas till rekrytera datorer till botnät (robotnätverk) som kan användas för att orkestrera DDoS-attacker.
Vad kan jag göra för att mildra hotet mot mitt företag?
Om du inte har någon sorts Antivirus mjukvara installerat på din dator eller nätverk, är det nu dags att ladda ner det och sparka ut eventuella nätverksinkräktare som utnyttjar det här problemet.
Apache har redan släppts en uppdatering som kommer att hjälpa till att stärka sårbarheten. Men eftersom det bara är så utbrett och används i så många system, kommer säkerhetsteam att få svåra uppdrag att utrota alla instanser och korrigera dem.
Att regelbundet söka efter inkräktare på dina datorsystem är för närvarande av stor vikt.
Att installera den här patchen är din bästa försvarslinje, men om du är en del av ett företag som försöker försvara sig från detta hot och dina system inte kan uppdateras omedelbart, har säkerhetsföretaget Cybereason skapade en patch som den anger kan inaktivera sårbarheten. Du behöver grundläggande Java-kunskaper för att implementera denna patch.