Log4j є і залишається небезпечною вразливістю майже через три місяці після її розкриття. І навіть якщо жодних атак ще не відбувається, офіцери ІТ-безпеки повинні вважати, що кіберзлочинці отримали доступ до ІТ-систем. Крістіан Аврам, старший архітектор рішень у Bitdefender.
Тому для ефективного захисту від неминучих атак найближчими місяцями необхідно буде негайно локалізувати та закрити слабкі місця, а також контролювати власний ІТ та мережевий трафік.
Log4j: тривале навантаження
Хакери можуть віддалено виконувати код за допомогою широко використовуваної бібліотеки входу Log4J. Уразливість CVE-9-2021, про яку було оголошено 2021 грудня 44228 року, особливо небезпечна через широке використання де-факто стандарту Log4J у різноманітних веб-додатках. Багато компаній не знають, чи і де вони впровадили Log4j у своїх системах. Ще в грудні 2021 року Bitdefender Labs помітили конкретні дії кіберзлочинців, наприклад, встановлення криптомайнерів через ботнети або запуск нових атак програм-вимагачів.
Навіть якщо велика хвиля атак, очевидно, ще не матеріалізована, можна припустити, що ситуація високого динамічного ризику. Оскільки за допомогою Log4j дуже легко встановити віддалений виконуваний код, небезпека неминуча. Зловмисники також використовують Log4J як шлюз для отримання доступу до корпоративної мережі. Можна припустити, що власне атаки підуть, оскільки спочатку хакери проникли в мережу компанії максимально непомітно. Багато атак, які зараз готуються і почнуться найближчим часом, можуть більше не бути виявлені в результаті вторгнення через Log4j.
Невизначеність серед виробників і компаній
Сама бібліотека Log4j пропонує дуже корисну та просту функцію для реєстрації та обробки запитів до систем. Саме тому він став стандартом де-факто. Як універсальна міжплатформна структура, вона працює на різних операційних системах, таких як Windows, Linux, macOS і FreeBSD. Java – і, отже, Log4J – використовується, наприклад, у веб-камерах, автомобільних навігаційних системах, терміналах, DVD-плеєрах, приставках, медичних пристроях і навіть у паркоматах. Однак це створює проблему: багато ІТ-адміністраторів не знатимуть, які програми підключають мережу їхньої компанії до Інтернету через Log4j. Телеметричні дані Bitdefender, тобто інформація з установлених систем Bitdefender, не випадково показують, що багато команд із безпеки самостійно вирішують потенційні вразливості, щоб перевірити, чи вони вражені.
І ви не самотні з цією нестачею огляду. Постачальники програмного забезпечення або проекти з відкритим кодом також не знають, чи містять їхні продукти чи проекти вразливість. Як і всі компанії, вони повинні мати уявлення про стан безпеки та зараз інформують своїх клієнтів – або продовжуватимуть робити це найближчим часом.
П’ять порад для «марафону Log4J» найближчих місяців
У цій незрозумілій ситуації ризику, яка постійно змінюється, керівники ІТ-безпеки в компаніях і постачальники керованої безпеки повинні бути дуже пильними в найближчі місяці, обслуговуючи своїх клієнтів. Наступні поради допоможуть визначити ризики та заблокувати атаки в короткостроковій та довгостроковій перспективі:
- 1. Негайно виправляйте та оновлюйте там, де вразливість уже відома: Компанії повинні негайно імпортувати всі доступні латки для своїх програм відповідно до інструкцій від постачальника програмного забезпечення. Цей принцип зараз діє як ніколи.
- 2. Інвентаризація ІТ-інфраструктури та специфікації програмного забезпечення: адміністратори повинні перевірити всю свою інфраструктуру та програмне забезпечення. Це дозволяє ідентифікувати всі системи, які реалізували фреймворк журналювання Apache Lofj2. Потім слідує оновлення до версії Log4j 2.17.1.
- 3. Перевірте ланцюг постачання програмного забезпечення на наявність оновлень: коли ІТ-адміністратори дізнаються, які системи зазнали впливу, вони повинні тримати себе в курсі того, чи проектується відповідне програмне забезпечення з відкритим кодом. Чи надають постачальники комерційних програмних продуктів виправлення. Які заходи ви рекомендуєте для ліквідації розриву?
- 4. Не забувайте про системи без прямого доступу до Інтернету: звичайно, програми та системи, які безпосередньо підключені до Інтернету, мають вищий пріоритет у списку безпеки. Але багато хакерів використовують ці ворота лише як відправну точку для бічних рухів для атаки на інші системи. Тому особи, відповідальні за ІТ, повинні бути настільки ж пильними у моніторингу та захисті систем без прямого підключення до Інтернету.
- 5. Час для глибокого захисту: використання Log4j є першим кроком, наступним є початок атаки. Це може дати ІТ-адміністраторам час підготуватися та запобігти перетворенню вразливості на справжній інцидент безпеки. Телеметричні дані показують, які модулі кібербезпеки перешкоджають зловмисникам використати вразливість. Він починається із захисту на рівні мережі: Threat Intelligence надає інформацію про репутацію URL-адрес або IP-адрес. Але статичне зловмисне програмне забезпечення також робить свою справу та встановило криптомайнери або відомі зловмисні програми. Це не тільки забезпечує захист від цих атак. Адміністратори та постачальники керованої безпеки також повинні припускати, що ці атаки продовжуватимуть поширюватися. Розширене виявлення та реагування (XDR) виявляє бічний рух від однієї системи до іншої. Розширені методи виявлення загроз визначають підозрілу поведінку процесів. Зовнішні експерти зі служби керованого виявлення та реагування (MDR) допомагають визначити ризики та атаки.
Захист від атак через Log4j буде довгостроковим завданням. Адміністратори повинні дуже уважно стежити за доступом до своєї мережі та тим, що відбувається в мережі в найближчі місяці. Кожну аномалію потрібно перевіряти. Зокрема, ІТ-адміністратори та постачальники керованих послуг повинні серйозно ставитися до будь-яких ознак зворотної оболонки TCP.
Більше на Bitdefender.com
Про Bitdefender Bitdefender є світовим лідером у сфері рішень для кібербезпеки та антивірусного програмного забезпечення, що захищає понад 500 мільйонів систем у понад 150 країнах. З моменту заснування в 2001 році інновації компанії регулярно забезпечували відмінні продукти безпеки та інтелектуальний захист для пристроїв, мереж і хмарних сервісів для приватних клієнтів і компаній. Як найкращий постачальник, технологія Bitdefender міститься в 38 відсотках розгорнутих у світі рішень безпеки, їй довіряють і визнають професіонали галузі, виробники та споживачі. www.bitdefender.de