Σε μια προειδοποίηση που εκδόθηκε την Πέμπτη, το Ολλανδικό Εθνικό Κέντρο Κυβερνοασφάλειας (NCSC) λέει ότι οι οργανισμοί θα πρέπει να εξακολουθούν να γνωρίζουν τους κινδύνους που συνδέονται με τις επιθέσεις Log4j και να παραμείνουν σε επαγρύπνηση για συνεχείς απειλές.
Δείτε επίσης: Επιθέσεις Log4j από κρατικούς hacker μέσω νέου PowerShell backdoor
Παρόλο που ο απόηχος των πρόσφατων περιστατικών που συνδέονται με την εκμετάλλευση του Log4Shell δεν ήταν “πολύ άσχημος” επειδή πολλοί οργανισμοί έχουν ενεργήσει γρήγορα για να μετριάσουν αυτές τις κρίσιμες ευπάθειες, το NCSC λέει ότι οι απειλητικοί φορείς κατά πάσα πιθανότητα εξακολουθούν να κάνουν σχέδια για να παραβιάσουν νέους στόχους.
Τα τρωτά σημεία Log4j (συμπεριλαμβανομένου του Log4Shell) είναι ένα πολύ ελκυστικό διάνυσμα επίθεσης τόσο για εισβολείς με οικονομικά κίνητρα όσο και για επιτιθέμενους που υποστηρίζονται από το κράτος, δεδομένου ότι η βιβλιοθήκη καταγραφής ανοιχτού κώδικα Apache Log4j χρησιμοποιείται σε ένα ευρύ φάσμα συστημάτων από δεκάδες προμηθευτές.
Δείτε επίσης: Η ομάδα Aquatic Panda διείσδυσε σε ακαδημαϊκό ίδρυμα μέσω του Log4j
Το Log4Shell, μπορεί να αξιοποιηθεί εξ αποστάσεως σε servers που είναι εκτεθειμένοι σε τοπική πρόσβαση ή πρόσβαση στο διαδίκτυο για να επιτρέψει στους εισβολείς να μετακινηθούν πλευρικά μέσω ενός δικτύου μέχρι να φτάσουν σε ευαίσθητα εσωτερικά συστήματα.
Μετά την αποκάλυψή του, πολλοί απειλητικοί παράγοντες άρχισαν να αναπτύσσουν exploits Log4Shell, συμπεριλαμβανομένων ομάδων hacking που συνδέονται με κυβερνήσεις στην Κίνα, το Ιράν, τη Βόρεια Κορέα και την Τουρκία και έχουν πρόσβαση σε brokers που χρησιμοποιούνται από συμμορίες ransomware.
Το Log4j βρίσκεται ακόμα υπό ενεργό exploitation
Η προειδοποίηση του NCSC είναι έγκαιρη, δεδομένου ότι πολλαπλές ειδοποιήσεις για συνεχιζόμενο Log4j exploitation σε όλο τον κόσμο εκδόθηκαν από κυβερνητικούς και ιδιωτικούς οργανισμούς σε όλο τον κόσμο.
Για παράδειγμα, μια αναφορά που δημοσιεύτηκε από τη Microsoft την Τετάρτη αναφέρει προσπάθειες που έγιναν από άγνωστους απειλητικούς παράγοντες για τη διάδοση επιθέσεων Log4j στους εσωτερικούς LDAP servers ενός οργανισμού εκμεταλλευόμενοι ένα SolarWinds Serv-U zero-day.
Ωστόσο, οι επιθέσεις απέτυχαν επειδή οι Windows domain controllers που στοχεύτηκαν στο συμβάν δεν ήταν ευάλωτοι σε exploits Log4j.
Δείτε επίσης: CISA: Κυκλοφορεί Apache Log4j scanner για τον εντοπισμό ευάλωτων apps
Μια εβδομάδα νωρίτερα, η Microsoft προειδοποίησε για έναν κινέζικο απειλητικό παράγοντα που αναφέρεται ως DEV-0401 που χρησιμοποιεί exploits Log4Shell σε servers VMware Horizon που είναι εκτεθειμένοι στο Διαδίκτυο για την ανάπτυξη του Night Sky ransomware.
Οι αναφορές της Microsoft είχαν προηγηθεί μιας άλλης ειδοποίησης που εκδόθηκε από την Εθνική Υπηρεσία Υγείας του Ηνωμένου Βασιλείου (NHS) στις 5 Ιανουαρίου σχετικά με επιτιθέμενους που στοχεύουν συστήματα VMware Horizon με Log4Shell exploits.
Πηγή πληροφοριών: bleepingcomputer.com