Порядка 40% корпоративных сетей по всему миру уже атакованы в попытке проэксплуатировать Log4Shell.
ИБ-эксперты считают, что нашумевшая уязвимость в утилите журналирования Log4j ( CVE-2021-44228 ) останется с нами надолго, и на ее исправление уйдут многие месяцы, если не годы.
По словам главы отделов исследований компаний McAfee Enterprise и FireEye Стива Повольного (Steve Povolny), уязвимость, получившая название Log4Shell, теперь встала в один ряд с такими долгожителями, как Shellshock, Heartbleed и EternalBlue.
Злоумышленники уже эксплуатируют уязвимость для установки криптомайнеров и установки Cobalt Strike, что прокладывает путь к дальнейшим атакам, в том числе с целью похищения конфиденциальной информации, считает Повольный.
«Мы ожидаем эволюцию атак», — заявил эксперт.
По его словам, влияние уязвимости может быть огромным из-за ее «червеобразного» характера, благодаря чему атаки через нее можно автоматизировать. Даже при наличии исправления в настоящее время существуют десятки версий уязвимого компонента.
Из-за огромного количества наблюдаемых в настоящее время атак, по словам Повольного, «можно предположить, что многие организации уже взломаны».
К примеру, ИБ-компания Check Point заблокировала 846 тыс. сканирований на предмет наличия уязвимости в сетях своих клиентов. Порядка 40% корпоративных сетей по всему миру уже были атакованы злоумышленниками в попытке проэксплуатировать Log4Shell. Как сообщили в Check Point, каждую минуту специалисты фиксировали 100 попыток эксплуатации уязвимости. Известные киберпреступные группировки ответственны за 46% попыток эксплуатации уязвимости в сетях клиентов компании.
Новые варианты оригинального эксплоита, впервые опубликованного на GitHub, появляются со стремительной скоростью. Всего за сутки исследователи Check Point зафиксировали около 60 доступных эксплоитов. Теперь Log4Shell можно проэксплуатировать несколькими способами, в том числе через HTTP и HTTPS. Другими словами, одного уровня защиты для обеспечения безопасности недостаточно.
Другие ИБ-компании приводят аналогичные данные. К примеру, специалисты Sophos зафиксировали «сотни тысяч» попыток эксплуатации уязвимости. Во многих случаях это сканирования в поисках уязвимых установок, тестирование эксплоитов и попытки установить криптомайнеры. Исследователи также обнаружили атаки с целью извлечения ключей шифрования и другой чувствительной информации из облачных сервисов, включая Amazon Web Services (AWS).
Одно найти легче, чем другое. Спойлер: это не темная материя