image

Cisco: Log4j-kwetsbaarheid vanaf 2 december gebruikt bij aanvallen

maandag 13 december 2021, 11:10 door Redactie, 13 reacties
Laatst bijgewerkt: 13-12-2021, 13:09

De kwetsbaarheid in Apache Log4j waarvoor op vrijdag 10 december een beveiligingsupdate verscheen is al sinds 2 december gebruikt bij aanvallen, zo waarschuwt Cisco. Internetbedrijf Cloudflare heeft het zelfs over 1 december. Cisco roept organisaties dan ook op om binnen hun logs en omgevingen vanaf deze datum op mogelijk misbruik te controleren.

Volgens het netwerkbedrijf vindt er inmiddels grootschalig misbruik van de kwetsbaarheid plaats, waarbij in veel gevallen een cryptominer op kwetsbare servers wordt geïnstalleerd. Ook antivirusbedrijf Sophos meldt de installatie van cryptominers. Om organisaties te helpen bij het vinden van aanwijzingen over mogelijk succesvolle aanvallen hebben Cisco en securitybedrijf Fox-IT verschillende indicators of compromise gepubliceerd, waaronder domeinnamen, ip-adressen, user-agent http-headers, commando's, hashes en gebruikte scripts.

Securitybedrijf Qihoo 360 meldt dat inmiddels twee botnets de de Log4j-kwetsbaarheid gebruiken voor het aanvallen van systemen. Het gaat om de Muhstik- en Mirai-botnets. De laatstgenoemde heeft het meestal op Internet of Things-apparaten voorzien. De botnets installeren een backdoor en kunnen besmette servers inzetten voor het uitvoeren van ddos-aanvallen.

Update

Internetbedrijf Cloudflare stelt dat de eerste Log4j-exploits van 1 december dateren.

Image

Reacties (13)
13-12-2021, 11:15 door Anoniem
Ik ben beniewd wat er gebeuerd als er meerdere hackers op dezelfde server zitten.
Hebben ze dit dan door?
proberen ze de cryptominer van elkaar te verwijderen ?
13-12-2021, 11:37 door [Account Verwijderd] - Bijgewerkt: 13-12-2021, 11:39
Door Anoniem: Ik ben beniewd wat er gebeuerd als er meerdere hackers op dezelfde server zitten.
Hebben ze dit dan door?
proberen ze de cryptominer van elkaar te verwijderen ?

Dan gaat de ene hacker via de remote access van de andere hacker die hacker hacken. Dat noemen ze hackerwars en de hoogste prijs is het veroveren van de cryptocoins van de tegenpartij.
13-12-2021, 13:59 door Anoniem
Door Toje Fos:
Door Anoniem: Ik ben beniewd wat er gebeuerd als er meerdere hackers op dezelfde server zitten.
Hebben ze dit dan door?
proberen ze de cryptominer van elkaar te verwijderen ?

Dan gaat de ene hacker via de remote access van de andere hacker die hacker hacken. Dat noemen ze hackerwars en de hoogste prijs is het veroveren van de cryptocoins van de tegenpartij.

Iets wat belangrijk is, bewaar je niet op een computer/nas/storage oid dat toegankelijk is via het WAN of LAN.
13-12-2021, 14:01 door Anoniem
Door Toje Fos:
Door Anoniem: Ik ben beniewd wat er gebeuerd als er meerdere hackers op dezelfde server zitten.
Hebben ze dit dan door?
proberen ze de cryptominer van elkaar te verwijderen ?

Dan gaat de ene hacker via de remote access van de andere hacker die hacker hacken. Dat noemen ze hackerwars en de hoogste prijs is het veroveren van de cryptocoins van de tegenpartij.
Ik werk bij het NCSC en dit is 100% correct.
13-12-2021, 14:37 door Bitje-scheef
De Cisco lijst is gigantisch btw
13-12-2021, 14:55 door Anoniem
What’s the prognosis?
by Dan Goodin

In a best-case scenario, [...] invest huge sums in overtime costs to pay large numbers of already overworked IT employees to mop up this mess during the holidays. You don’t want to think about the worst-case scenario ...

https://arstechnica.com/information-technology/2021/12/the-log4shell-zeroday-4-days-on-what-is-it-and-how-bad-is-it-really/


‘The Internet Is on Fire’
by Lily Hay Newman

https://www.wired.com/story/log4j-flaw-hacking-internet/

Log4j is not a casual thing to patch in live services because if something goes wrong an organization could compromise their logging capabilities at the moment when they need them most to watch for attempted exploitation.
13-12-2021, 17:52 door Anoniem
13-12-2021, 18:16 door MiDe
niet MS Exchange deze x
13-12-2021, 20:21 door Anoniem
Heb nu net in de modem de bijna complete blocklist opgenomen die door FoxIT is gepubliceerd.
https://blog.fox-it.com/2021/12/12/log4shell-reconnaissance-and-post-exploitation-network-detection/
13-12-2021, 22:21 door Anoniem
Door Anoniem: Heb nu net in de modem de bijna complete blocklist opgenomen die door FoxIT is gepubliceerd.
https://blog.fox-it.com/2021/12/12/log4shell-reconnaissance-and-post-exploitation-network-detection/

Goh , waarom ?

Omdat je achter je moden een Apache-met-Java-met-Log4J draait, en nog steeds gepatched hebt ofzo ?
13-12-2021, 22:56 door Anoniem
Stilte voor de storm door groot beveiligingsprobleem: 'Dit gaat niet met een sisser aflopen'

https://nos.nl/artikel/2409383-stilte-voor-de-storm-door-groot-beveiligingsprobleem-dit-gaat-niet-met-een-sisser-aflopen
13-12-2021, 23:00 door Anoniem
Word of caution er zijn al meer dan 60 mutaties van deze exploit in the wild gevonden.
https://threatpost.com/apache-log4j-log4shell-mutations/176962/

We zitten nu officieel op zelfde ellende niveau als Shellshock qua impact.
Happy holidays all ! Atleast krijgen we overtime bonus ;)
14-12-2021, 09:24 door Anoniem
Door Anoniem:
Door Toje Fos:
Door Anoniem: Ik ben beniewd wat er gebeuerd als er meerdere hackers op dezelfde server zitten.
Hebben ze dit dan door?
proberen ze de cryptominer van elkaar te verwijderen ?

Dan gaat de ene hacker via de remote access van de andere hacker die hacker hacken. Dat noemen ze hackerwars en de hoogste prijs is het veroveren van de cryptocoins van de tegenpartij.
Ik werk bij het NCSC en dit is 100% correct.

Ik werk niet bij het NCSC en geloof dit onmiddelijk
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.