Arctic Wolf, провідна компанія з безпеки, опублікувала сценарій виявлення Log4Shell Deep Scan для виявлення CVE-2021-45046 і CVE-2021-44228 у файлах JAR, WAR і EAR на Github Disposal. Сценарій вже успішно використали понад 2.300 клієнтів Arctic Wolf по всьому світу.
Сценарій, доступний для пристроїв Windows, macOS і Linux, виконує глибоке сканування файлових систем хостів, щоб ідентифікувати програми та бібліотеки Java з уразливим кодом Log4j. Якщо виявлено пошкоджений код Log4j, сценарій позначає його та виводить місце зберігання у файловій системі. Таким чином, компанії можуть ідентифікувати програми та системи, на які впливає вразливість Log4J.
Завантажте “Log4Shell Deep Scan” на Github тут
Для отримання додаткової інформації перегляньте відповідний файл readme.txt на GitHub. Arctic Wolf продовжує запрошувати спільноту безпеки до подальшої розробки "Log4Shell Deep Scan" для власних випадків використання. Arctic Wolf не збирає та не надсилає жодної інформації.
Навіщо використовувати глибоке сканування Log4Shell?
Виявлення всіх уразливих екземплярів Log4j в організації наразі є серйозною проблемою для команд ІТ та безпеки. Підвищення рівня критичності останньої версії CVE-2021-45046 вимагає повторного сканування та виправлення систем і активів.
Log4Shell Deep Scan слід використовувати для доповнення, а не для заміни існуючих мережевих рішень сканування вразливостей. Arctic Wolf рекомендує компаніям запускати інструмент спочатку на своїх найважливіших і загальнодоступних ІТ-системах, а потім сканувати всі інші системи, включаючи системи, розташовані за периметром безпеки.
Показуючи, які програми зазнали впливу та де розташована кожна вразливість, інструмент дозволяє ІТ-командам і командам безпеки швидко визначати пріоритети та націлюватися на ці вразливості.
Уразливості Log4j / Log4Shell використовуються протягом тривалого часу
Arctic Wolf спостерігав за великою кількістю дій зі сканування, пов’язаних із уразливістю Log4j/Log4Shell, і атак, під час яких зловмисники намагаються розповсюдити зловмисне програмне забезпечення для майнерів криптовалюти. Зловмисники програм-вимагачів також почали активно використовувати Log4Shell як вектор входу для своїх атак.
Arctic Wolf відстежує кілька відомих груп зловмисників, зокрема з Китаю, Ірану, Північної Кореї та Туреччини, які використовують вразливість Log4J. Ці та інші загрозливі суб’єкти були активні з позаминулого тижня після того, як стало відомо про вразливість нульового дня. Як тільки увага громадськості в компаніях ослабне, можна очікувати, що подальші кроки та дії атаки будуть здійснюватися після початкового компрометування, тому буде потрібна постійна увага та ретельний моніторинг безпеки, особливо в найближчому майбутньому.
Що буде далі для Log4Shell?
Log4Shell півтора тижні тримав у напрузі ІТ-світ. Ситуація постійно змінюється, і слід очікувати, що ця вразливість і пов’язані з нею наслідки будуть хвилювати компанії протягом тривалого часу. Тому групи безпеки та досліджень і розробок Arctic Wolf розробили додаткові інструменти виявлення на основі нових методів (наприклад, TTP), які, ймовірно, використовуватимуть зловмисники. Це також включає виявлення варіантів методів атаки Log4J і негайне розпізнавання, локалізацію та видалення успішних експлойтів.
Можна припустити, що досвідчені суб’єкти загрози використовують широко поширене сканування Log4J і атаки на товари, щоб «пролітати під радаром» у своїй діяльності з метою скомпрометувати цілі високого рівня. Крім того, можна очікувати, що в найближчому майбутньому буде значно більше випадків програм-вимагачів, які монетизують успішні атаки Log4j. Додаткову інформацію про вплив Log4Shell див. у вебінарі Arctic Wolf On Demand.
Більше на ArcticWolf.com
Про Арктичного вовка
Arctic Wolf® є світовим лідером у сфері безпеки та надає першу хмарну платформу безпеки для захисту від кіберризиків. На основі даних телеметрії про загрози, що охоплюють кінцеві точки, мережі та хмарні джерела, Arctic Wolf® Security Operations Cloud аналізує понад 1,6 трильйона подій безпеки на тиждень у всьому світі. Він надає важливу для компанії інформацію про майже всі випадки використання безпеки та оптимізує неоднорідні рішення безпеки клієнтів. Платформу Arctic Wolf® використовують понад 2.000 клієнтів у всьому світі. Він забезпечує автоматичне виявлення загроз і реагування на них, дозволяючи організаціям будь-якого розміру налаштовувати операції безпеки світового класу одним натисканням кнопки.