Microsoft: Log4j exploateringar strÀcker sig frÄn kryptogruvdrift till ren stöld

Blockchain analytics-leverantören Nansen samlar in 75 miljoner dollar


Microsoft sa i lördags att utnyttjandet hittills av den kritiska Apache Log4j-sÄrbarheten, kÀnd som Log4Shell, strÀcker sig bortom kryptomyntsbrytning och till mer allvarligt territorium som autentiseringsuppgifter och datastöld.

TeknikjÀtten sa att deras hotintelligensteam har spÄrat försök att utnyttja sÄrbarheten för fjÀrrkodexekvering (RCE) som avslöjades sent pÄ torsdagen. SÄrbarheten pÄverkar Apache Log4j, ett loggningsbibliotek med öppen kÀllkod som distribueras brett inom molntjÀnster och företagsprogramvara. MÄnga applikationer och tjÀnster skrivna i Java Àr potentiellt sÄrbara.

Mer allvarliga bedrifter

Attacker som tar över maskiner för att bryta kryptovalutor som Bitcoin, Àven kÀnd som cryptojacking, kan resultera i lÄngsammare prestanda.

Utöver myntbrytning, dock log4j utnyttjar som Microsoft hittills har sett inkluderar aktiviteter som identitetsstöld, sidoförflyttning och dataexfiltrering. Tillsammans med att tillhandahÄlla nÄgra av de största plattformarna och molntjÀnsterna som anvÀnds av företag, Àr Microsoft en stor leverantör av cybersÀkerhet i sin egen rÀtt med 650 000 sÀkerhetskunder.

I sitt inlĂ€gg i lördags sa Microsoft att “vid tidpunkten för publiceringen har den stora majoriteten av den observerade aktiviteten varit skanning, men exploatering och aktiviteter efter exploatering har ocksĂ„ observerats.”

Speciellt, “Microsoft har observerat aktiviteter inklusive installation av myntgruvarbetare, Cobalt Strike för att möjliggöra stöld av autentiseringsuppgifter och sidoförflyttning och exfiltrering av data frĂ„n komprometterade system,” sa företaget.

Microsoft lÀmnade inte ytterligare information om nÄgon av dessa attacker. VentureBeat har kontaktat Microsoft för all uppdaterad information.

Enligt ett inlĂ€gg frĂ„n Netlab 360 har angripare utnyttjat Log4Shell för att distribuera skadlig programvara inklusive Mirai och Muhstik – tvĂ„ Linux-botnĂ€t som anvĂ€nds för kryptomining och distribuerade DDoS-attacker (Denial of Service).

Swiss Government Computer Emergency Response Team publicerade att de har observerat anvÀndningen av Mirai och Muhstik (Àven kÀnd som Tsunami) för att distribuera DDoS-attacker, sÄvÀl som distribution av Kinsing skadlig kod för kryptomining.

Beteendebaserad upptÀckt

Som svar pĂ„ sĂ„rbarheten sa Microsoft att sĂ€kerhetsteam bör fokusera pĂ„ mer Ă€n bara att förebygga attacker – och de bör ocksĂ„ leta efter indikatorer pĂ„ ett utnyttjande med hjĂ€lp av en beteendebaserad upptĂ€cktsmetod.

Eftersom Log4Shell-sĂ„rbarheten Ă€r sĂ„ bred och att implementera begrĂ€nsningar tar tid i stora miljöer, “uppmuntrar vi försvarare att leta efter tecken pĂ„ efterexploatering snarare Ă€n att helt förlita sig pĂ„ förebyggande”, sa företaget i sitt inlĂ€gg. “Observerad aktivitet efter exploatering sĂ„som myntbrytning, sidorörelser och Cobalt Strike detekteras med beteendebaserade detektioner.”

Cobalt Strike Ă€r ett legitimt verktyg för penetrationstestning som Ă€r kommersiellt tillgĂ€ngligt, men cyberbrottslingar har alltmer börjat utnyttja verktyget, enligt en fĂ€rsk rapport frĂ„n Proofpoint. AnvĂ€ndning av Cobalt Strike av hotaktörer ökade med 161 % 2020, Ă„r över Ă„r, och verktyget har “visats i Proofpoint-hotdata oftare Ă€n nĂ„gonsin” 2021, sa företaget.

NĂ€r det gĂ€ller Microsofts egna produkter som kan ha sĂ„rbarheter pĂ„ grund av anvĂ€ndning av Log4j, har företaget sagt att det undersöker frĂ„gan. I ett separat blogginlĂ€gg pĂ„ lördagen skrev Microsoft Security Response Center att dess sĂ€kerhetsteam “har genomfört en aktiv undersökning av vĂ„ra produkter och tjĂ€nster för att förstĂ„ var Apache Log4j kan anvĂ€ndas.”

“Om vi ​​identifierar nĂ„gon kundpĂ„verkan kommer vi att meddela den berörda parten”, stĂ„r det i Microsoft-inlĂ€gget.

ÅtgĂ€rda felet

Log4Shell-sÄrbarheten har pÄverkat version 2.0 till och med version 2.14.1 av Apache Log4j, och organisationer rekommenderas att uppdatera till version 2.15.0 sÄ snabbt som möjligt. Leverantörer inklusive Cisco, VMware och Red Hat har utfÀrdat rÄd om potentiellt sÄrbara produkter.

“NĂ„got att tĂ€nka pĂ„ med denna sĂ„rbarhet Ă€r att du kan vara i riskzonen utan att ens veta om det,” sa Roger Koehler, vice vd för hot ops pĂ„ managed detection and response-företaget Huntress, i ett e-postmeddelande. “MĂ„nga företagsorganisationer och de verktyg de anvĂ€nder kan inkludera Log4j-paketet medföljt – men det Ă€r inte alltid uppenbart. Som ett resultat finner mĂ„nga företagsorganisationer att de Ă€r utlĂ€mnade till sina programvaruleverantörers nĂ„d för att korrigera och uppdatera sin unika programvara efter behov.”

Dock mĂ„ste patchar för mjukvaruprodukter utvecklas och rullas ut av leverantörer, och det tar sedan ytterligare tid för företag att testa och distribuera patcharna. “Processen kan ta ganska lĂ„ng tid innan företag faktiskt har patchat sina system,” sa Koehler.

För att hjÀlpa till att minska riskerna under tiden har lösningar börjat dyka upp för sÀkerhetsteam.

Möjlig lösning

Ett verktyg, utvecklat av forskare hos sÀkerhetsleverantören Cybereason, inaktiverar sÄrbarheten och tillÄter organisationer att förbli skyddade medan de uppdaterar sina servrar, enligt företaget.

Efter att ha distribuerat det kommer alla framtida försök att utnyttja Log4Shell-sĂ„rbarheten inte att fungera, sĂ€ger Yonatan Striem-Amit, medgrundare och teknisk chef pĂ„ Cybereason. Företaget har beskrivit fixen som ett “vaccin” eftersom det fungerar genom att utnyttja sjĂ€lva sĂ„rbarheten i Log4Shell. Den slĂ€pptes gratis pĂ„ fredagskvĂ€llen.

ÄndĂ„ borde ingen se verktyget som en “permanent” lösning för att Ă„tgĂ€rda sĂ„rbarheten i Log4j, sa Striem-Amit till VentureBeat.

“Tanken Ă€r inte att detta Ă€r en lĂ„ngsiktig lösning”, sa han. “Tanken Ă€r att du köper dig tid att nu gĂ„ och tillĂ€mpa de bĂ€sta metoderna – korrigera din programvara, implementera en ny version och alla andra saker som krĂ€vs för god IT-hygien.”

Utbredd sÄrbarhet

Log4Shell-sÄrbarheten anses vara mycket farlig pÄ grund av den utbredda anvÀndningen av Log4j i programvara och eftersom bristen ses som ganska lÀtt att utnyttja. RCE-felet kan i slutÀndan göra det möjligt för angripare att fjÀrrÄtkomst till och kontrollera enheter.

Log4Shell Ă€r “förmodligen den viktigaste [vulnerability] inom ett decennium” och kan sluta bli den “mest betydelsefulla nĂ„gonsin”, sa Tenables vd Amit Yoran i lördags pĂ„ Twitter.

Enligt W3Techs, uppskattningsvis 31,5% av alla webbplatser körs pÄ Apache-servrar. Listan över företag med sÄrbar infrastruktur inkluderar enligt uppgift Apple, Amazon, Twitter och Cloudflare.

“Denna sĂ„rbarhet, som i stor utstrĂ€ckning utnyttjas av en vĂ€xande uppsĂ€ttning hotaktörer, utgör en akut utmaning för nĂ€tverksförsvarare med tanke pĂ„ dess breda anvĂ€ndning”, sĂ€ger Jen Easterly, chef för den federala Cybersecurity and Infrastructure Security Agency (CISA), i ett uttalande postat i lördags.

VentureBeats uppdrag ska vara ett digitalt stadstorg för tekniska beslutsfattare att fÄ kunskap om transformativ företagsteknik och handla. LÀs mer om medlemskap.