image

Cloudflare: misbruik Log4j-lek negen minuten na openbaarmaking

woensdag 15 december 2021, 12:45 door Redactie, 6 reacties

De kwetsbaarheid in Apache Log4j is negen minuten na de openbaarmaking van het beveiligingslek op 9 december voor het eerst misbruikt, zo stelt internetbedrijf Cloudflare. Inmiddels zijn de eerste ransomware-aanvallen via het lek waargenomen en maken ook statelijke actoren er misbruik van, aldus Microsoft.

Afgelopen maandag meldde Cloudflare nog dat het eerste misbruik van de Log4j-kwetsbaarheid op 1 december was waargenomen. Eerder stelde Cisco dat het activiteit van aanvallers met betrekking tot het beveiligingslek op 2 december had gezien. Cloudflare heeft nu iets meer details gegeven en stelt dat het op 1 december alleen "beperkte tests" van de kwetsbaarheid heeft waargenomen.

Het eerste daadwerkelijke waargenomen misbruik vond negen minuten na de openbaarmaking van de kwetsbaarheid plaats, toen een onderzoeker de details via Twitter en GitHub deelde. Volgens Cloudflare laat dit zien hoe snel aanvallers zich op nieuw gevonden kwetsbaarheden storten.

Volgens antivirusbedrijf Bitdefender zijn de meeste Log4j-aanvallen gericht tegen Linux-servers, maar zijn er ook aanvallen tegen Windows-servers waargenomen. Bij deze aanvallen probeerden aanvallers de Khonsari-ransomware te installeren. Deze ransomware versleutelt allerlei bestanden op de server. Volgens securitybedrijf Cado Security is de ransomware zeer beperkt verspreid en is het onwaarschijnlijk dat veel organisaties erdoor zijn getroffen.

Microsoft meldt via de eigen website dat inmiddels ook statelijke actoren uit China, Iran, Noord-Korea en Turkije van de Log4j-kwetsbaarheid gebruikmaken. Een Chinese groep genaamd Hafnium zou via het beveiligingslek niet nader genoemde virtualisatie-infrastructuur aanvallen. Verder stelt Microsoft dat ook meerdere criminele groepen het lek gebruiken om toegang tot systemen te krijgen en deze toegang mogelijk doorverkopen aan ransomwaregroepen.

Reacties (6)
15-12-2021, 13:57 door Anoniem
De kwetsbaarheid in Apache Log4j is negen minuten na de openbaarmaking van het beveiligingslek op 9 december voor het eerst misbruikt, zo stelt internetbedrijf Cloudflare.

Hoe lang was het lek eigenlijk al bekend bij verschillende organisaties (bv veiligheidsdiensten, Big Tech en onderzoekers) voordat het openbaar gemaakt werd?

9 minuten is wel heel erg snel.
Of waren die eerste aanvallen door een A.I. uitgevoerd?
15-12-2021, 16:15 door Anoniem
"Microsoft meldt via de eigen website dat inmiddels ook statelijke actoren"

Verbaast mij niets. Al die testwebsites hebben inmiddels ook een prachtige set van kwetsbare systemen, je hoeft dus slechts even publiek te kijken haast en je doel nu te kiezen.

Test dus vooral je eigen infra niet met die publieke DNS-testsites.
15-12-2021, 19:37 door karma4
Door Anoniem: 9 minuten is wel heel erg snel. Of waren die eerste aanvallen door een A.I. uitgevoerd?
Goeie vraag als het eerder al gebeurde maar je zag het toen niet dan zal je snel nadat je gaat kijken het zien.
15-12-2021, 22:03 door Anoniem
Door karma4:
Door Anoniem: 9 minuten is wel heel erg snel. Of waren die eerste aanvallen door een A.I. uitgevoerd?
Goeie vraag als het eerder al gebeurde maar je zag het toen niet dan zal je snel nadat je gaat kijken het zien.

De eerste log4shell exploits werden mogelijk al rond 1 december j.l. uitgevoerd, zo'n negen dagen vóórdat de CVE werd gepubliceerd, volgens Matthew Prince, de CEO van Cloudflare. Het probleem hing dus ergens in de lucht of het lekte mogelijk voortijdig uit. Zodra het JIRA issue bij Apache werd geopend, roken de statelijke actoren meteen het bloed.

Opeenvolging van gebeurtenissen
-------------------------------
ontdekking 24 november 2021
detectie 1 december 2021
JIRA issued 5 december 2021
log4j fixed 6 december 2021
publicatie CVE 9 december 2021
-------------------------------

https://en.wikipedia.org/wiki/Log4Shell

Matthew Prince
@eastdakota
Earliest evidence we’ve found so far of #Log4J exploit is 2021-12-01 04:36:50 UTC. That suggests it was in the wild at least 9 days before publicly disclosed. However, don’t see evidence of mass exploitation until after public disclosure.
10:47 PM · Dec 11, 2021

https://twitter.com/eastdakota/status/1469800951351427073
16-12-2021, 02:02 door Anoniem
Dit is precies waarom ik al 30 jaar Linux en Java van de scriptkiddies links heb laten liggen.
18-12-2021, 23:41 door Anoniem
Door Anoniem: "Microsoft meldt via de eigen website dat inmiddels ook statelijke actoren"

Verbaast mij niets. Al die testwebsites hebben inmiddels ook een prachtige set van kwetsbare systemen, je hoeft dus slechts even publiek te kijken haast en je doel nu te kiezen.

Test dus vooral je eigen infra niet met die publieke DNS-testsites.
wat is daarvan precies het risico dan
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.