Tech

Egyelőre nem éltek vissza tömegesen az évtized legsúlyosabb sérülékenységével

Annette Riedl/picture alliance via Getty Images
Annette Riedl/picture alliance via Getty Images

A Sophos biztonsági cég új kutatási cikket tett közzé a Log4Shellről, amiről tavaly év végén szerzett tudomást a nyilvánosság, és amit az évtized legsúlyosabb sérülékenységeként is aposztrofáltak a szakértők. A cég folytatta a fenyegetés nyomon követését és monitorozását, áttekintette a sérülékenység bejelentése óta eltelt észleléseket, és megvizsgált számos kulcskérdést, például, hogy ki vagy mi állhat a támadások hátterében.

Néha, amikor egy szoftveres krízis nem okoz olyan mértékű pusztítást, mint amire mindenki számít, az ok az lehet, hogy nem is volt krízis – írja bejegyzésében Chester Wisniewski, a Sophos vezető kutatója. Nem ez a helyzet a Log4Shell sérülékenységgel, amelyet a széles körben használt Apache Log4J szoftverben találtak 2021. decemberének elején.

Habár a világ nem tapasztalta meg a sérülékenységgel való tömeges visszaélést, amitől féltek, a sok digitális alkalmazásban és termékben mélyen eltemetett Log4Shell bug valószínűleg évekig támadások célpontja lesz.A Sophos úgy véli, hogy a Log4Shellt tömegesen kihasználó támadók közvetlen veszélyét az hárította el, hogy a hiba súlyossága egyesítette a digitális és biztonsági közösségeket és cselekvésre késztette az embereket. Ugyanez volt látható 2000-ben az Y2K bug esetében, és úgy tűnik, hogy itt is jelentős változást hozott. Amint világossá váltak a Log4Shell bug részletei, a világ legnagyobb és legfontosabb felhőszolgáltatásai, szoftverei és vállalatai akcióba léptek a jéghegy elkerülése érdekében, megosztva az információkat és a biztonsági közösség által nyújtott gyakorlati útmutatásokkal támogatva.

A Log4J sérülékeny példányai után kutató szkennelésre vonatkozó Sophos telemetria tipikus mintát mutat az újonnan jelentett sebezhetőség kapcsán. Az első néhány napban a szkennelés mértéke mérsékelt volt, amely a Proof-of-Concept exploitok korai fejlesztéseit és a kihasználható rendszerek előzetes online keresését tükrözi. Egy héten belül jelentősen megnőtt a szkennelési észlelések száma: az értékek 2021. december 20. és december 23. között tetőztek. A számok megerősítették azt, hogy rengeteg ember – jó vagy rossz szándékkal – próbálta felmérni, mások mennyire voltak sebezhetőek a fenyegetéssel szemben azáltal, hogy a potenciálisan veszélyeztetett rendszerek számát kutatták.

A szkennelések számának kiértékelésekor egy másik tényezőt is figyelembe kell venni: a Log4Shell típusú hibákkal máshogy élnek vissza attól függően, hogy a Log4J kód mely alkalmazásban van és hogyan van integrálva abba az alkalmazásba. Ez nagy mennyiségű redundáns vizsgálatot eredményez, amelyek különböző módokon próbálják kiaknázni a különböző applikációkat – teszi hozzá a biztonsági cég. December végétől 2022. januárján keresztül a támadási kísérletek görbéje ellaposodott és csökkent. Ám ez nem jelenti azt, hogy a fenyegetés szintje is csökkent volna: ekkorra az észlelések egyre nagyobb százaléka valószínűleg valós támadás volt és kevesebb származott a legújabb javítási állapotot vizsgáló kutatóktól.

Korlátozott tömeges visszaélések

Az eddigi sikeres támadások összesített száma továbbra is alacsonyabb a vártnál. A Sophos Managed Threat Response Team (MTR) megjegyezte, hogy bár a csapat számos szkennelést és a Log4Shell exploit triggerelésére tett kísérletet észlelt, 2022. január elejére csak néhány MTR-ügyfél szembesült olyan behatolási kísérletekkel, ahol a Log4J-t azonosították kezdeti belépési pontnak. Ezek többsége kriptobányász botnet volt.

A korlátozott tömeges visszaélés másik lehetséges oka az lehet, hogy a támadásokat testre kell szabni minden olyan alkalmazáshoz, amely tartalmazza a sebezhető Apache Log4J kódot.

A skála egyik végén a rendkívül széles körben használt alkalmazások vannak, amelyek kapcsolatban állnak az internettel és manuálisan kell őket frissíteni, egyenként. Ezeket automatizált módon, nagy léptékben aknázzák ki. Ilyen alkalmazás például a VMware Horizon. A Sophos MTR által észlelt első behatolás, amely a Log4Shellt használta ki, a VMware Horizont érintette.

A skála másik végén sok más, az Apache Log4J-t magában foglaló, rejtettebb, ritkább alkalmazás van, amelyeket időbe telik a támadóknak felfedezni és kihasználni. Ezek a támadások emberi ütemben fognak lezajlani és nem eredményeznek majd óriási kiugrásokat az aktivitás terén, azonban továbbra is szignifikáns kockázatot jelentenek a továbbra is sebezhető szervezetek számára.

A támadási kísérletek földrajza

A Sophos földrajzi hely meghatározó telemetriája a bug 2021. december 9-i bejelentésétől az év végéig, valamint 2022. januárjának első két hetében érdekes eltéréseket mutat a támadási kísérletek és szkennelések forrásaiban. A decemberi térképet tekintve érdemes megjegyezni, hogy a legelső országok, köztük az Egyesült Államok, Oroszország és Kína, valamint Nyugat-Európa és Latin-Amerika országai általában nagy népességgel és jelentős, képzett kiberbiztonsági munkaerővel rendelkeznek. Sokan jól kiépített digitális infrastruktúrával bírnak és népszerű internetes hoszting központok. Például az Egyesült Államok és Németország kiemelkedő jelenléte a földrajzi helyek IP-forrásadataiban valószínűleg az ott található nagy adatközpontokat tükrözi, amelyeket többek között az Amazon, a Microsoft és a Google üzemeltet.

Ez a kép drámaian változik 2022. elején, mivel a tömeges szkennelés észlelései átadják a helyüket a részletesebbpróbálkozások és visszaélések indikátorainak. A legszembetűnőbb különbség a két térkép között az, hogy Oroszország és Kína korai domináns pozíciója januárra gyengülni látszik. A Sophos információi azt sugallják, hogy ez az ezekben a régiókban működő kis számú, de rendkívül agresszív kriptobányász  támadási kísérleteinek látszólagos csökkenését tükrözi.

Fontos megjegyezni azt a lehetőséget is, hogy talán nincs kapcsolat a sebezhetőséget szkennelő és kihasználó forrás IP-k, valamint a forgalmat generálók tényleges tartózkodási helye között. A call backek célállomásai jobb képet adhatnak.

A fenyegetés megmarad

Csak azért, mert sikerült elkerülnünk a közvetlen katasztrófát, nem jelenti azt, hogy megszabadultunk volna a kockázattól – hívja fel a figyelmet a Sophos. Ahogy mások rámutattak, a kezdeti támadó szkennelések némelyike azt eredményezhette, hogy az elkövetők hozzáférést biztosítottak egy sérülékeny célponthoz, de nem éltek vissza azzal a hozzáféréssel, például malware-ek elhelyezésével – így a sikeres jogosulatlan behatolás észrevétlen marad.

A múltban a Sophos megfigyelte, hogy olyan országok, mint például Irán vagy Észak-Korea VPN-sebezhetőségekre csaptak le, amelyekkel hozzáférést szereztek a célpontok hálózataihoz és hátsó ajtókat telepítettek rájuk, mielőtt a célpontoknak esélye lett volna telepíteni a javításokat. Ezután hónapokig vártak, mielőtt egy támadás során használták volna azt a hozzáférést.

Egy másik példában a támadók sebezhető Exchange szervereket céloztak meg közvetlenül az első ProxyLogon javítások után és web shelleket hagytak hátra backdoorként a későbbi támadások számára. Az Exchange szerver javítása nem volt elég, el kellett távolítani az elhelyezett hátsó ajtókat is.

De ez még nem minden: idővel az internetes kapcsolattal bíró, Log4Shell exploit kapcsán sebezhető alkalmazásokat valószínűleg azonosítják, javítják vagy eltávolítják. Azonban az ismeretlen, belsőleg sebezhető rendszerek talán sosem lesznek ismertek és nem fedezik fel őket, ezek pedig továbbra is biztonsági kockázatot jelentenek majd. A Sophos telemetria azt mutatja, hogy a Sophos által védett endpointokon lévő sebezhető Java Archive fájlok (JAR) száma nem változott. Ezek a rosszindulatú laterális mozgáshoz használt kedvenc eszközökké válhatnak a jövőben.

A biztonsági cég ezért úgy véli, hogy a Log4Shell sebezhetőségének kihasználására tett kísérletek valószínűleg évekig folytatódnak és a penetration testerek, valamint az államilag támogatott threat actorok kedvenc célpontjává válik majd egyaránt. Az alkalmazásokban való felhasználási hely azonosításának és a szoftver javítással történő frissítésének sürgőssége továbbra is annyira kritikus, mint valaha.

Kapcsolódó
Lángokban áll az internet, az évtized legsúlyosabb sérülékenységét találták meg
Világszerte fenyegeti a szervezeteket a most talált sebezhetőség.

Ajánlott videó

Olvasói sztorik