Cloudflare: misbruik Log4j-lek negen minuten na openbaarmaking
De kwetsbaarheid in Apache Log4j is negen minuten na de openbaarmaking van het beveiligingslek op 9 december voor het eerst misbruikt, zo stelt internetbedrijf Cloudflare. Inmiddels zijn de eerste ransomware-aanvallen via het lek waargenomen en maken ook statelijke actoren er misbruik van, aldus Microsoft.
Afgelopen maandag meldde Cloudflare nog dat het eerste misbruik van de Log4j-kwetsbaarheid op 1 december was waargenomen. Eerder stelde Cisco dat het activiteit van aanvallers met betrekking tot het beveiligingslek op 2 december had gezien. Cloudflare heeft nu iets meer details gegeven en stelt dat het op 1 december alleen "beperkte tests" van de kwetsbaarheid heeft waargenomen.
Het eerste daadwerkelijke waargenomen misbruik vond negen minuten na de openbaarmaking van de kwetsbaarheid plaats, toen een onderzoeker de details via Twitter en GitHub deelde. Volgens Cloudflare laat dit zien hoe snel aanvallers zich op nieuw gevonden kwetsbaarheden storten.
Volgens antivirusbedrijf Bitdefender zijn de meeste Log4j-aanvallen gericht tegen Linux-servers, maar zijn er ook aanvallen tegen Windows-servers waargenomen. Bij deze aanvallen probeerden aanvallers de Khonsari-ransomware te installeren. Deze ransomware versleutelt allerlei bestanden op de server. Volgens securitybedrijf Cado Security is de ransomware zeer beperkt verspreid en is het onwaarschijnlijk dat veel organisaties erdoor zijn getroffen.
Microsoft meldt via de eigen website dat inmiddels ook statelijke actoren uit China, Iran, Noord-Korea en Turkije van de Log4j-kwetsbaarheid gebruikmaken. Een Chinese groep genaamd Hafnium zou via het beveiligingslek niet nader genoemde virtualisatie-infrastructuur aanvallen. Verder stelt Microsoft dat ook meerdere criminele groepen het lek gebruiken om toegang tot systemen te krijgen en deze toegang mogelijk doorverkopen aan ransomwaregroepen.
Hoe lang was het lek eigenlijk al bekend bij verschillende organisaties (bv veiligheidsdiensten, Big Tech en onderzoekers) voordat het openbaar gemaakt werd?
9 minuten is wel heel erg snel.
Of waren die eerste aanvallen door een A.I. uitgevoerd?
Verbaast mij niets. Al die testwebsites hebben inmiddels ook een prachtige set van kwetsbare systemen, je hoeft dus slechts even publiek te kijken haast en je doel nu te kiezen.
Test dus vooral je eigen infra niet met die publieke DNS-testsites.
De eerste log4shell exploits werden mogelijk al rond 1 december j.l. uitgevoerd, zo'n negen dagen vóórdat de CVE werd gepubliceerd, volgens Matthew Prince, de CEO van Cloudflare. Het probleem hing dus ergens in de lucht of het lekte mogelijk voortijdig uit. Zodra het JIRA issue bij Apache werd geopend, roken de statelijke actoren meteen het bloed.
Opeenvolging van gebeurtenissen
-------------------------------
ontdekking 24 november 2021
detectie 1 december 2021
JIRA issued 5 december 2021
log4j fixed 6 december 2021
publicatie CVE 9 december 2021
-------------------------------
https://en.wikipedia.org/wiki/Log4Shell
@eastdakota
https://twitter.com/eastdakota/status/1469800951351427073
Verbaast mij niets. Al die testwebsites hebben inmiddels ook een prachtige set van kwetsbare systemen, je hoeft dus slechts even publiek te kijken haast en je doel nu te kiezen.
Test dus vooral je eigen infra niet met die publieke DNS-testsites.
Deze posting is gelocked. Reageren is niet meer mogelijk.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.