Log4j-sårbarheten är dålig. Här är de goda nyheterna

Microsoft bekräftar ny ransomware-familj distribuerad via Log4j-sårbarheten


En kritisk sårbarhet som upptäckts i Log4j, ett brett distribuerat Apache-loggningsbibliotek med öppen källkod, kommer nästan säkert att utnyttjas av hackare Рförmodligen mycket snart. Säkerhetsteam arbetar för fullt med att korrigera sina system och försöker förhindra en katastrof. (Den massiva 2017 års integritetsregisterbrott mot Equifax involverade en liknande sårbarhet.) Det är en mycket dålig dag, och det kan bli mycket värre snart.

Men åtminstone i vissa avseenden har företag bättre förutsättningar att undvika en katastrof nu än tidigare. Eftersom det är 2021, finns det vissa fördelar nu när det gäller att svara på en nolldagsbugg av denna svårighetsgrad, sa säkerhetschefer och forskare till VentureBeat.

F√∂rst och fr√§mst, “v√§rlden √§r redo f√∂r att svara p√• dessa avsl√∂janden, med f√∂retag som flyttar f√∂r att mildra problem inom n√•gra timmar”, s√§ger Brian Fox, teknisk chef p√• Sonatype, i ett e-postmeddelande. “Det h√§r problemet √§r potentiellt farligare eftersom Log4j √§r allm√§nt anv√§nt. [But] Apache Log4j-teamet sk√∂t ut en fix med br√•dska. Hur snabbt de r√∂rde sig minskade avsev√§rt risken f√∂r allvarligt negativa, l√•ngsiktiga effekter.”

Proaktivt förhållningssätt

Dave Klein, chef f√∂r cyber evangelism p√• Cymulate, sa att √§ven om allvaret i situationen inte kan bagatelliseras – han f√∂rv√§ntar sig ett utnyttjande inom 48 timmar – visar svaret p√• uppt√§ckten av s√•rbarheten att “vi blir b√§ttre p√• att vara Proaktiv.”

“Tidigare hade du bokstavligen noll dagar som var tv√• √•r l√•nga,” sa Klein till VentureBeat. ‚Äď I dag har det verkligen f√∂r√§ndrats. Det vi ser √§r en b√§ttre situation d√§r v√§rlden finner bugg-pengar anv√§ndbara, hittar s√•rbarheter, g√∂r proof of concepts ‚Ķ Jag skulle vilja h√§vda att detta √§r ett bra exempel p√• [security in] 2021.”

Avg√∂rande √§r att Apache Log4j-teamet “arbetade √∂ver natten p√• ett n√§stan aldrig tidigare sk√•dat s√§tt f√∂r att snabbt f√∂rst√• och v√§nda en fix p√• detta,” sa Fox. “Ofta kan nolldagarsrapporter ta m√•nader att f√∂rverkligas fr√•n rapport till release. Det h√§r verkar ha h√§nt inom n√•gra dagar.”

Den ökade medvetenheten kring cybersäkerhet har också lett till större inflytande på företagsledarnivå, inklusive i styrelserummet, vilket också gör skillnad, sa Klein.

“F√∂r mig √§r cybers√§kerhet √§ntligen vid en punkt d√§r styrelserummet f√•r det. Och √§ven om de inte f√∂rst√•r det helt, s√• v√§nder de sig till n√•gon i tekniskt ledarskap och s√§ger: “Jag m√•ste f√∂rst√• det h√§r b√§ttre”, sa han. “Vad som verkligen h√§nder √§r att v√§rlden vaknar.”

Tekniska faktorer

Utöver det har automatiseringstekniker för att skanna öppen källkod, såsom mjukvarusammansättningsanalys (SCA), funnit en växande användning under de senaste åren. Det har också användningen av detekterings- och svarskapacitet, vilket kan vara avgörande för att avslöja hot i en situation som denna.

Det verkar vara mindre beroende av Log4j Java-biblioteket nu √§n tidigare ocks√•. “Det finns mer heterogenitet i Java-loggningsutrymmet √§n p√• l√§nge”, sa Arshan Dabirsiaghi, medgrundare och chefsforskare p√• Contrast Security, i ett mejl. “L√§nge var det enda vi anv√§nde Log4j. Det √§r inte ens standardbiblioteket i vissa st√∂rre ramverk l√§ngre.‚ÄĚ

Oavsett, “kommer vi att se denna s√•rbarhet under resten av v√•ra karri√§rer i alla skrymslen och vr√•r av v√•rt IT-fotavtryck,” sa Dabirsiaghi. “Men f√∂r fem √•r sedan skulle det ha varit mycket v√§rre.”

“Long tail”-s√•rbarhet

Inget av detta är för att minimera hur dålig situationen är för säkerhetsteam och hur mycket värre saker och ting kan bli i händelse av en exploatering.

Hotet som utgörs av sårbarheten för fjärrkodexekvering (RCE) i Log4j är att potentiellt göra det möjligt för en angripare att fjärråtkomst till och kontrollera enheter.

“Eftersom denna s√•rbarhet √§r en komponent av dussintals om inte hundratals programvarupaket, kan den g√∂mma sig var som helst i en organisations n√§tverk, s√§rskilt f√∂retag med enorma milj√∂er och system,” sa Karl Sigler, senior s√§kerhetsforskningschef p√• Trustwave SpiderLabs, i ett e-postmeddelande .

“Det faktum att detta intr√§ffade under december betyder bara att mycket semester kommer att missas f√∂r s√§kerhetsteam som m√•ste reagera p√• hot som f√∂rs√∂ker dra f√∂rdel av denna masss√•rbarhet,” sa Sigler. “Den h√§r s√•rbarheten kommer att ha en riktigt l√•ng svans och kommer sannolikt att f√∂rst√∂ra helger och semestrar f√∂r m√•nga IT- och informationss√§kerhetsproffs √∂ver hela v√§rlden.”

Med tanke på omfattningen av de berörda enheterna och felets exploatering är det högst troligt att det kommer att dra till sig avsevärd uppmärksamhet från både cyberbrottslingar och aktörer som är associerade med nationalstaten, säger Chris Morgan, senior cyberhotsunderrättelseanalytiker på Digital Shadows, i ett mejl.

Uppdatera och var vaksam

S√§kerhetsf√∂retag s√§ger att s√•rbarheten har p√•verkat version 2.0 till och med version 2.14.1 av Apache Log4j. Organisationer “r√•ds att uppdatera till version 2.15.0 och l√§gga extra vaksamhet p√• loggar som √§r associerade med mottagliga applikationer”, sa Morgan.

En av de viktigaste √§r att konfigurationsbegr√§nsningarna f√∂r s√•rbarheten √§r “enkla” och kan enkelt implementeras, sa John Bambenek, huvudhotsj√§gare p√• Netenrich, i ett e-postmeddelande.

Tjänster inklusive Apple iCloud och Steam, och appar inklusive Minecraft, har visat sig ha sårbarheter för RCE-sårbarheten, enligt LunaSec.

I slut√§ndan, enligt Amit Yoran, vd f√∂r Tenable, “√§r de goda nyheterna att vi vet om det.”

“Det faktum att det har kommit fram betyder att vi √§r i ett lopp f√∂r att hitta och fixa det innan d√•liga sk√•despelare drar full nytta av det,” sa Yoran.

VentureBeats uppdrag ska vara ett digitalt stadstorg för tekniska beslutsfattare att få kunskap om transformativ företagsteknik och handla. Läs mer om medlemskap.