ESET eviduje celosvetovo stovky tisícov pokusov o útoky, ktoré sa snažia zneužiť kritickú zraniteľnosť Log4Shell.

Najviac výskytov sa objavilo v Spojených štátoch, Spojenom kráľovstve, Turecku, Nemecku a Holandsku. Podľa „heat mapy“ sa hrozba nevyhla ani Slovensku. Riziko zneužitia softvéru je v knižnici Log4j. Ide o softvérovú knižnicu, ktorá sa používa na rôznych systémoch po celom svete na vyrábanie logovacích súborov. Podľa stupnice CVSS o kritickú zraniteľnosť s najvyššou hodnotou 10 bodov z 10. Útok tak nie je vedený na vybraný softvér ale na súčasť, ktorú používa. Tým, že ide o zdieľané zdroje, riziko je väčšie. Zjednodušene sa dá povedať, že odinštalovanie rizikové softvéru nepomôže. To by ale z dlhodobého hľadiska neriešilo situáciu.

Počet pokusov o útok podľa telemetrie spoločnosti ESET

Inžinieri v ESETe už 11. decembra vytvorili detekčné mechanizmy, ktoré dokážu pokusy o zneužitie zraniteľnosti zachytiť a zablokovať. Len za 5 dní ESET zaznamenal na Slovensku stovky tisíc pokusov o útok. Útočníci sa teraz sústreďujú najmä na hľadanie serverov, služieb a zariadení, kde nie je táto zraniteľnosť opravená. V takomto prípade môže pomôcť iba ochrana antivírusom alebo spomínaná záplata na knižnicu Log4j.

Knižnica Log4j je šírená vo forme open source kódu. Vďaka tomu je možné nájsť problémy alebo riziká skôr a to vďaka vývojárom, ktorí môžu kód ľubovoľne skúmať. Aj vďaka tomu sa koncom novembra našla kritická zraniteľnosť, ktorú bezpečnostní experti pomenovali Log4Shell. Útočníkom umožňuje na zariadení diaľkové spustenie akéhokoľvek kódu a v konečnom dôsledku aj získanie plnej kontroly nad napadnutým zariadením. Podľa vyjadrenia odborníka z ESETu, Ondreja Kuboviča, môžu obeť špehovať, ukradnúť jej citlivé údaje, nainštalovať jej do siete ransomvér či sabotovať jej systémy.

Bezpečnostné odporúčania podľa ESETu

  • Overiť, kde všade vaša organizácia využíva open-source knižnicu Log4j a v akej verzii. Zraniteľné sú verzie po 2.14, resp. čiastočne zraniteľná je aj verzia 2.15. Zraniteľnosť sa týka aj Linux systémov.
  • Aktualizovať Log4j knižnicu na verziu 2.16 a sledovať prípadné ďalšie aktualizácie.
  • Keďže Log4Shell je RCE (Remote Code Execution) zraniteľnosť a existujú na ňu exploity, je potrebné overiť, či už nebola zraniteľnosť zneužitá a nedošlo k prieniku zo strany útočníkov.
  • Používať bezpečnostný softvér, ktorý dokáže detegovať a blokovať exploitáciu zraniteľnosti a to v oboch smeroch (dnu aj von).
    • ESET detekcie: Java/Exploit.CVE-2021-44228; Java/Exploit.Agent; Java/Exploit.Agent.SBL
  • Blokovať podozrivé IP adresy pomocou firewallu, resp. intrusion detection systému.

Zdroj: ESET, Jake Moore (video)

Prečítajte si aj: