ההאקרים ממשיכים לחגוג על חולשת Log4shell

ההאקרים לא שוקטים על השמרים (גם) בכל הנוגע ל-Log4shell: לפי נתונים שחשפה מעבדת קספרסקי, היא זיהתה בשלושת השבועות הראשונים של ינואר יותר מ-30 אלף ניסיונות לפרוץ דרך החולשה. זאת, על אף שקרן אפאצ'י כבר הפיצה תיקון שמאפשר להתמודד עם החולשות שהתגלו בה. להערכת מומחי קספרסקי, ייקחו שבועות ואף חודשים עד שארגונים ישלימו את חסימת ההתקנים החשופים.

בדצמבר האחרון, חולשת Log4Shell בספריית הלוגים Log4j הפכה כמעט בן לילה לאחת מחולשות האבטחה החמורות ביותר בשנה החולפת. בחלוף כמה ימים מחשיפתה, האקרים הפועלים בשליחות מדינות דוגמת סין, איראן, צפון קוריאה וטורקיה ניצלו את החולשה החמורה וניסו לפרוץ לארגונים רבים. לפי צ'ק פוינט, האקרים איראנים ניצלו את החולשה ב-Log4j וניסו לתקוף שבע מטרות ממשלתיות ועסקיות בישראל.

Log4j היא אחת התוכנות הפופולריות ביותר שאמונות על תיעוד פעילות המשתמשים בשירותים אינטרנטיים. התוכנה, שלא ממש הייתה מוכרת לפני חשיפת החולשה, משובצת כמעט בכל שירות אינטרנטי או אפליקציה המוכרים לנו, כולל טוויטר, אמזון, מיקרוסופט, מיינקראפט ושרתי iCloud, כמו גם בפתרונות IT ואבטחה ארגוניים דוגמת הורייזון של VMware, פנורמה של פאלו אלטו והפתרונות של נט-אפ ו-Qradar, וכן במצלמות במעגל סגור (CCTV) ובמדפסות. זאת, משום שהחבילה הפגיעה משמשת במיליוני יישומי ג'אווה.

אחת הקבוצות שזוהו בין אלה שתקפו באמצעות החולשה היא הקבוצה האיראנית פוספורוס (Phosphorus – זרחן), שמכונה גם החתלתול המקסים. חבריה ערכו שינויים בכלי הפריצה שלה באמצעות Log4shell. קבוצת האקרים סינית, Hafnium שמה, נצפתה גם היא תוקפת תשתית וירטואליזציה עם הפגיעות. קבוצת האקרים אחרת נצפתה משתמשת בחולשה לטובת ניצול מחשבים לכריית מטבעות קריפטו.

"חולשה זו ממשיכה להוות איום ממשי וחמור על ארגונים רבים", קבעו מומחי קספרסקי. מבדיקה שערכו חוקרי ענקית הסייבר עולה שבמהלך שלושת השבועות הראשונים של החודש הנוכחי, מוצריה חסמו 30,562 ניסיונות לתקוף משתמשים באמצעות ניצול החולשה, שזכתה בדירוג 10 בסולם CVSS – דירוג החומרה הגבוה ביותר האפשרי לפרצת אבטחה. כמעט 40% מהניסיונות הללו זוהו בחמשת הימים הראשונים של החודש.

נמנעו 154,098 ניסיונות סריקה ותקיפת התקנים באמצעות ניצול Log4shell

מאז הדיווח הראשוני אודות Log4shell, מוצרי קספרסקי זיהו ומנעו 154,098 ניסיונות סריקה ותקיפת התקנים באמצעות ניצול החולשה. שלוש המדינות שעל ארגונים שבהן נערך המספר הרב ביותר של ניסיונות תקיפה דרכה הן רוסיה (13%), ברזיל (8.97%) וארצות הברית (7.36%). החוקרים העריכו ש-"ייקח לארגונים שבועות ואפילו חודשים לחסום את הפרצה באמצעות התיקון שהפיצה קרן אפאצ'י".

יבגני לופטין, מומחה אבטחה מקפרסקי, אמר כי "אף על פי שאנחנו מזהים הרבה פחות סריקות וניסיונות תקיפה באמצעות ניצול log4shell לעומת ההיקף בשבועות הראשונים מאז שהיא התגלתה, מערכות המדידה שלנו מלמדות שהניסיונות לא פוסקים. חולשה זו מנוצלת על ידי שני סוגי שחקנים זדוניים מתקדמים: סוג אחד תוקף ארגונים ספציפיים והסוג השני הוא של תוקפים אופורטוניסטים, שפשוט מחפשים לתקוף כל מערכת שבה החולשה טרם נחסמה. אנחנו קוראים לכל מי שלא חסם את החולשה לעשות זאת מוקדם ככל הניתן ולהשתמש בפתרון אבטחה חזק כדי להישאר מוגן".