Descoperit în decembrie 2021, Log4Shell a devenit rapid popular ca fiind vulnerabilitatea anului. Deși Apache Foundation a lansat un patch pentru acesta la scurt timp după descoperirea sa, vulnerabilitatea continuă să reprezinte o amenințare imensă pentru indivizi și organizații. În primele trei săptămâni din ianuarie, produsele Kaspersky au blocat 30.562 de încercări de a ataca utilizatorii folosind exploit-uri care vizează vulnerabilitatea Log4Shell.
CVE-2021-44228 sau Log4Shell este o vulnerabilitate de clasă Remote Code Execution (RCE), ceea ce înseamnă că, dacă este exploatată pe un server vulnerabil, atacatorii dobândesc capacitatea de a executa cod arbitrar și pot prelua controlul deplin asupra sistemului. Acest CVE a fost clasat pe locul 10 din 10 în ceea ce privește severitatea.
Vulnerabilitatea este extrem de atractivă pentru infractorii cibernetici, deoarece le permite să obțină control complet asupra sistemului victimei și este ușor de exploatat. De când a fost raportată pentru prima dată, produsele Kaspersky au detectat și prevenit 154.098 de încercări de a scana și ataca dispozitive prin țintirea vulnerabilității Log4Shell. Majoritatea sistemelor atacate au fost localizate în Rusia (13%), Brazilia (8,97%) și SUA (7,36%).
Deși Apache Foundation a lansat deja un patch pentru acest CVE, este nevoie de săptămâni sau luni pentru ca furnizorii să-și actualizeze software-ul. Deloc surprinzător, experții Kaspersky au observat că atacatorii rău intenționați continuă să efectueze scanări pe scară largă pentru a exploata Log4Shell. În primele trei săptămâni din ianuarie, produsele Kaspersky au blocat 30.562 de încercări de a ataca utilizatorii prin țintirea vulnerabilității Log4Shell. Mai mult, aproape 40% dintre aceste încercări au fost depistate în primele cinci zile ale lunii, în perioada 1-5 ianuarie.
„Cu siguranță vedem că au existat mult mai puține scanări și tentative de atacuri folosind Log4Shell decât au fost în primele săptămâni, când a fost descoperit inițial. Totuși, încercările de a exploata această vulnerabilitate vor rămâne de actualitate. După cum arată telemetria noastră, infractorii cibernetici își continuă activitățile de scanare în masă și încearcă să folosească codul exploatabil. Această vulnerabilitate este exploatată atât de actori avansați de amenințări, care vizează organizații specifice, cât și de oportuniști care caută pur și simplu orice sisteme vulnerabile pentru lansarea atacurilor. Îndemnăm pe toți cei care nu au făcut încă acest lucru, să folosească patch-ul și o soluție de securitate puternică pentru a se menține protejați”, spune Evgeny Lopatin, expert în securitate la Kaspersky.
Produsele Kaspersky protejează împotriva atacurilor care folosesc vulnerabilități, inclusiv utilizarea PoC-urilor, sub următoarele denumiri:
- UMIDS:Intrusion.Generic.CVE-2021-44228.
- PDM:Exploit.Win32.Generic
Pentru a vă proteja împotriva acestei noi vulnerabilități, experții Kaspersky recomandă:
- Instalarea celei mai recente versiuni de library. O puteți descărca de pe pagina proiectului. Dacă utilizați o versiune library de la un alt furnizor, va trebui să monitorizați și să instalați actualizări în timp util, de la un furnizor de software.
- Urmând ghidurile proiectului Apache Log4j: https://logging.apache.org/log4j/2.x/security.html.
- Companiile folosesc de regulă o soluție de securitate care oferă componente de gestionare a vulnerabilităților, de prevenire a exploatării și a corecțiilor, cum ar fi Kaspersky Endpoint Security for Business. Componenta Kaspersky Automatic Exploit Prevention monitorizează, de asemenea, acțiunile suspecte asupra aplicațiilor și blochează execuțiile de fișiere rău intenționate.
- Utilizarea de soluții precum Kaspersky Endpoint Detection and Response și Kaspersky Managed Detection and Response, care ajută la identificarea și oprirea atacurilor în primele etape, înainte ca atacatorii să-și poată atinge obiectivul final.
