За словами Честера Вишневського, головного наукового співробітника Sophos, навіть якщо масового використання вразливості Log4j / Log4Shell, яке побоювалися, ще не відбулося, помилка буде мішенню для атак протягом багатьох років. Поки що не було великого землетрусу Log4j / Log4Shell - висновок судово-медичної експертизи.
Команди експертів Sophos проаналізували події, пов’язані з уразливістю Log4Shell, з моменту її виявлення в грудні 2021 року та перший баланс витягнуто - включаючи майбутній прогноз головного наукового співробітника Честера Вишневського та різні графіки, що демонструють використання вразливості. Резюме: велика криза через масову експлуатацію кіберзлочинцями поки що не матеріалізувалася, хоча цього побоювалися в галузі. Однак відсутність очікуваних і руйнівних наслідків не означає все ясно. Тому що помилка Log4Shell, яка глибоко прихована в багатьох цифрових програмах і продуктах, ймовірно, може стати мішенню для кіберзлочинців на довгі роки.
Швидкі дії запобігли найгіршому
Експерти Sophos вважають, що прямі та масові атаки на вразливість Log4Shell наразі вдалося стримати, перш за все завдяки активним діям усіх причетних осіб. Масштаби вразливості успішно об’єднали цифрову та безпекову спільноту. Спільні дії не є чимось новим, це вже було у випадку помилки Y2000K у 2 році, і, здається, це також мало суттєве значення. У той момент, коли з’явилися подробиці вразливості Log4j, найбільші та найважливіші у світі хмарні сервіси, постачальники програмного забезпечення та корпорації вжили заходів, щоб уникнути айсберга та запобігти катастрофі. Це також стало можливим завдяки колективному розуму та практичному керівництву спільноти безпеки.
Обмежений масовий розгін
Команда керованого реагування на загрози (MTR) Sophos виявила, що хоча було виявлено багато сканувань і спроб використання експлойту Log4Shell, небагато клієнтів MTR справді стикалися зі спробами вторгнення через Log2022j станом на початок січня 4 року. Одним з пояснень цього може бути необхідність адаптації атаки до кожної програми, яка містить вразливий код Apache Log4J.
Таким чином, широко використовувані програми, які містять уразливість, використовуються автоматизовано більшою мірою, ніж інші. Прикладом цього є VMware Horizon — тут стався перший злом, помічений Sophos MTR через уразливість Log4Shell.
Велика вага США та Німеччини у вихідних даних IP, ймовірно, відображає великі центри обробки даних (Зображення: Sophos).
Значні зрушення в геотелеметрії
Телеметрія Sophos Geo з моменту виявлення вразливості до перших двох тижнів січня 2022 року показує цікаві варіації в джерелах спроб атак і скануваннях. Карта від грудня 2021 року чітко показує, що такі регіони, як США, Росія, Китай, Західна Європа та Латинська Америка, постраждали більше. Велика вага США та Німеччини в географічних джерелах IP-даних, ймовірно, відображає розташовані там великі центри обробки даних, такі як Amazon, Microsoft і Google.
Картина ситуації в Log4j і кількість виявлених інцидентів різко зміниться на початку 2022 року (Зображення: Sophos).
Ситуаційна картина Log4j і кількість виявлених інцидентів різко зміняться на початку 2022 року (Зображення: Sophos). Ця ситуаційна картина та кількість виявлених інцидентів різко зміниться на початку 2022 року. Найбільш вражаючою відмінністю є те, що початкове домінування Росії та Китаю, здається, зменшилося в січні. Відповідно до висновків Sophos, це відображає явне зменшення спроб атак невеликої кількості дуже агресивних криптоаналітиків у цих регіонах.
Висновок від Sophos
Команди експертів Sophos вважають, що спроби використання вразливості Log4Shell, ймовірно, триватимуть упродовж багатьох років і стануть популярною мішенню для тестувальників проникнення, а також для національних держав та їхніх загроз. Таким чином, терміновість з’ясування місця уразливості у вашій власній мережі та виправлення відповідних програм залишається найважливішою метою.
Більше на Sophos.com
Про Софос Sophos довіряють понад 100 мільйонів користувачів у 150 країнах. Ми пропонуємо найкращий захист від складних ІТ-загроз і втрати даних. Наші комплексні рішення безпеки прості в розгортанні, використанні та керуванні. Вони пропонують найнижчу сукупну вартість володіння в галузі. Sophos пропонує відзначені нагородами рішення для шифрування, рішення безпеки для кінцевих точок, мереж, мобільних пристроїв, електронної пошти та Інтернету. Також є підтримка від SophosLabs, нашої глобальної мережі власних аналітичних центрів. Штаб-квартири Sophos знаходяться в Бостоні, США, та Оксфорді, Великобританія.