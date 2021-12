De kwetsbaarheid in Apache Log4j waarvoor op vrijdag 10 december een beveiligingsupdate verscheen is mogelijk al sinds 2 december gebruikt bij aanvallen, zo waarschuwt Cisco. Het netwerkbedrijf roept organisaties dan ook op om binnen hun logs en omgevingen vanaf deze datum op mogelijk misbruik te controleren.

Volgens Cisco vindt er inmiddels grootschalig misbruik van de kwetsbaarheid plaats, waarbij in veel gevallen een cryptominer op kwetsbare servers wordt geïnstalleerd. Ook antivirusbedrijf Sophos meldt de installatie van cryptominers. Om organisaties te helpen bij het vinden van aanwijzingen over mogelijk succesvolle aanvallen hebben Cisco en securitybedrijf Fox-IT verschillende indicators of compromise gepubliceerd, waaronder domeinnamen, ip-adressen, user-agent http-headers, commando's, hashes en gebruikte scripts.

Securitybedrijf Qihoo 360 meldt dat inmiddels twee botnets de de Log4j-kwetsbaarheid gebruiken voor het aanvallen van systemen. Het gaat om de Muhstik- en Mirai-botnets. De laatstgenoemde heeft het meestal op Internet of Things-apparaten voorzien. De botnets installeren een backdoor en kunnen besmette servers inzetten voor het uitvoeren van ddos-aanvallen.