Log4Shell er stadig en stor trussel og en almindelig årsag til sikkerhedsbrud
Log4Shell vil sandsynligvis forblive en foretrukken sårbarhed at udnytte, da organisationer mangler synlighed i deres softwareforsyningskæder.
Log4Shells kritiske sårbarhed, der påvirkede millioner af virksomhedsapplikationer, er fortsat en almindelig årsag til sikkerhedsbrud et år efter, at den modtog programrettelser og udbredt opmærksomhed og forventes at forblive et populært mål i nogen tid fremover. Dens langvarige indvirkning fremhæver de store risici, der er forbundet med mangler i transitive softwareafhængigheder, og behovet for, at virksomheder hurtigst muligt vedtager softwaresammensætningsanalyse og sikrer praksis for styring af forsyningskæden
Log4Shell, officielt sporet som CVE-2021-44228, blev opdaget i december 2021 i Log4j, et meget populært open source Java-bibliotek, der bruges til logning. Oprindeligt afsløret som en nul-dag, oprettede projektets udviklere hurtigt en patch, men at få denne patch bredt vedtaget og implementeret viste sig at være udfordrende, fordi den er afhængig af udviklere, der brugte denne komponent i deres software til at frigive deres egne opdateringer.
Problemet blev yderligere kompliceret af sårbarhedens transitive karakter, fordi softwareprojekter, der inkorporerede Log4j, omfattede mange andre tredjepartskomponenter eller udviklingsrammer, der selv blev brugt som afhængigheder til andre applikationer. Brug af selve Log4j-biblioteket var ikke engang nødvendigt for at blive påvirket, da den sårbare Java-klasse kaldet JndiManager inkluderet i Log4j-core blev lånt af 783 andre projekter og nu findes i over 19.000 softwarekomponenter.
Log4j-udnyttelse “vil forblive en udfordring”
“Vi vurderer, at truslen om Log4j-udnyttelsesforsøg vil forblive en udfordring for organisationer langt ind i 2023 og fremover,” sagde forskere fra Ciscos Talos-gruppe i deres rapport ved årets udgang. “Log4js gennemgribende karakter i organisationers miljøer gør patching udfordrende. Da biblioteket er så udbredt, kan Log4j være dybt indlejret i store systemer, hvilket gør det vanskeligt at registrere, hvor alle softwaresårbarheder kan være i et bestemt miljø.
Ifølge data fra sårbarhedsscanningsspecialistfirmaet Tenable havde 72% af organisationerne stadig aktiver, der var sårbare over for Log4Shell pr. 1. oktober 2022, en forbedring på 14 point siden maj, men stadig en meget høj procentdel. Det gennemsnitlige antal sårbare aktiver pr. organisation faldt fra 10% i december 2021 til 2.5% i oktober, men Tenable observerede, at et ud af tre aktiver havde en Log4Shell-gentagelse efter oprindeligt at have opnået afhjælpning.
“Hvad vores data viser er, at virksomheder, der har modne open source-programmer, stort set har afhjulpet, mens andre stadig vakler et år senere,” siger Brian Fox, CTO for software supply chain management firma Sonatype, til CSO. “Antallet af sårbare Log4j-downloads hver dag er i hundredtusinder, hvilket efter min mening viser, at dette ikke er et open source-vedligeholderproblem, men et open source-forbrugerproblem. Dette er et bevis på, at virksomheder simpelthen ikke ved, hvad der er i deres softwareforsyningskæde.”
Sonatype vedligeholder og driver Maven Central Repository, det største og mest anvendte lager af Java-komponenter. Virksomheden er derfor i stand til at spore antallet af downloads for enhver komponent, såsom Log4, j og vedligeholder en side med statistik og ressourcer til Log4Shell. Siden 10. december har en ud af tre Log4j-downloads været til sårbare versioner.
Antallet af Log4Shell-udnyttelsesforsøg er fortsat højt
Efter fejlens offentliggørelse i slutningen af 2021 viste telemetri fra Snort open source-netværksindtrængningsdetekteringssystemet en stigning i antallet af detektioner for Log4Shell-udnyttelsesforsøg, der nåede næsten 70 millioner i januar. Mængden af nye opdagelser faldt indtil april, men har siden da ligget relativt konstant på omkring 50 millioner om måneden. Dette viser, at angribere fortsat har en interesse i at undersøge systemer for denne sårbarhed.
Det administrerede detektions- og reaktionsfirma Arctic Wolf har oplevet 63.313 unikke tilfælde af forsøg på udnyttelse siden slutningen af januar mod 1.025 organisationer, der repræsenterer omkring en fjerdedel af kundebasen. Omkring 11% af hændelser respons engagementer af Arctic Wolf på organisationer, der ikke tidligere var dets kunder, havde Log4Shell som årsag til indtrængen. Dette blev kun toppet af ProxyShell (CVE-2021-34473) sårbarheden i Microsoft Exchange.
Udnyttelsen af sårbarheder i offentligt tilgængelige applikationer, som omfattede Log4Shell, var bundet til phishing for positionen som topinfektionsvektor i første halvdel af året, ifølge data fra Cisco Talos hændelsesresponsteam. I 3. kvartal var applikationsudnyttelser den tredje mest almindelige infektionsvektor og omfattede målretning af VMware Horizon-servere, der er sårbare over for Log4Shell.
De typer angribere, der udnytter Log4Shell, varierer fra cyberkriminelle, der implementerer cryptocurrency-minearbejdere og ransomware til statsstøttede cyberspionagegrupper. Omkring 60% af de hændelsesresponssager, der blev undersøgt af Arctic Wolf i år, blev tilskrevet tre ransomware-grupper: LockBit, Conti og BlackCat (Alphv). De gennemsnitlige omkostninger ved en sådan hændelse anslås af virksomheden til over $ 90,000.
Ifølge Cisco Talos, den nu hedengangne Conti ransomware-gruppe begyndte at udnytte Log4Shell kort efter, at fejlen blev offentliggjort i december 2021. Imidlertid, udnyttelse af denne fejl af ransomware-grupper fortsatte hele året. Cryptocurrency minedrift bander var endnu hurtigere til at vedtage Log4Shell end ransomware grupper, der er ansvarlig for mange af de tidlige scanning og udnyttelse aktivitet forbundet med denne fejl.
Men i løbet af året har Cisco Talos set Log4Shell blive udnyttet i cyberspionageoperationer af APT-grupper, herunder Nordkoreas Lazarus-gruppe, trusselsaktører tilknyttet Irans Islamiske Revolutionsgarde og de Kina-tilknyttede Deep Panda- og APT41-grupper.
“Log4j er stadig en meget levedygtig infektionsvektor for aktører at udnytte, og vi forventer, at modstandere vil forsøge at fortsætte med at misbruge sårbare systemer så længe som muligt,” sagde Cisco Talos-forskerne. “Selvom trusselsaktører forbliver tilpasningsdygtige, er der ringe grund til, at de bruger flere ressourcer på at udvikle nye metoder, hvis de stadig med succes kan udnytte kendte sårbarheder.”
Kilde: CSO
Foto: Pexels