Selv om direktøren for amerikanske Cybersecurity and Infrastructure Security Agency (CISA), Jen Easterly, omtaler de nylig oppdagede sårbarhetene i det Java-baserte loggbiblioteket Log4j som den mest alvorlige sårbarheten hun har sett i sin flere tiår lange karriere, fortalte hun mandag under en pressekonferanse at i alle fall ingen føderale, amerikanske byrået har blitt rammet av innbrudd hvor disse sårbarhetene har blitt benyttet.
Dette omtales av blant annet Wall Street Journal og CNET.
Kan skyldes manglende oversikt
CISA skal heller ikke kjenne til noen større kompromitteringer av systemene til andre virksomheter i USA. I de fleste av de angrene som har vært vellykket, har angriperne bare installert programvare for kryptoutvinning eller botnet.
Men Easterly innrømmer at angrep kan ha blitt utført og oppdaget uten at myndighetene har blitt varslet om dette. Gitt hvor enkelt det er å utnytte i alle fall den mest alvorlige av Log4j-sårbarhetene, og hvor utbredt programvaren er, er det kanskje noe overraskende at ikke flere alvorlige angrep har blitt kjent.
Det eneste litt høyprofilerte angrepet, er det som rammet det belgiske forsvarsdepartementet like før jul. I Norge meldte Nasjonalt cybersikkerhetssenter før jul at det hadde vært noe vellykkede, men tilsynelatende ikke veldig dramatiske kompromitteringer.
Greg Bednarski, som jobber med IT-sikkerhet i USA, tok opp dette lille mysteriet i en serie tvitringer i forrige uke. Klikk på svarene til den første meldingen for å se hele tråden.
#Log4j is one of those vulnerabilities that seems ready-made for mass exploitation. Remotely accessible + unauthenticated + widely used + super easy. So where are all the victims? My very first??
— Greg Bednarski (@gmbednarski) January 7, 2022
Easterly ser på side ikke bort fra at det finnes angripere som nå sitter stille i båten, etter å ha kommet seg ubemerket på innsiden virksomheters nettverk, for å gjøre mer skade på et senere tidspunkt når oppmerksomheten rundt disse sårbarhetene har gått over. Hun advarer derfor om det vil kunne ta lang tid før vi er ferdige med disse Log4j-sårbarhetene.
Fant kritiske feil i validering av feilruting på internett
Laster fortsatt ned sårbare versjoner
Noe som kan bidra til å forlenge perioden hvor disse sårbarhetene forlenges, er at mange fortsatt laster ned og potensielt tar i bruk sårbare versjoner av Log4j.
I et intervju med The Register sier Ilkka Turunen, teknologidirektør i selskapet bak Apache Maven Central Repository, Sonatype, at sårbare versjoner av Log4j har blitt lastet ned fire millioner ganger siden den 10. desember. Dette utgjør nærmere 40 prosent av de totale nedlastningene.
Turunen har ingen klar formening om hva som er årsaken til dette, for ingen kan skylde på at sårbarhetene ikke har fått nok oppmerksomhet. Men han antyder at det kan skyldes lange avhengighetskjeder, hvor programvaren som bygges er basert på andre komponenter som laster ned utdaterte versjoner av Log4j.
Mange angrepsforsøk
Ferske tall fra IT-sikkerhetsselskapet Check Point forteller at selskapet registrerte en økning på 50 prosent i mengden av alle typer angrepsforsøk mot bedriftsnettverk i 2021, sammenlignet med året før. I fjerde kvartal ble hver virksomhet i gjennomsnitt utsatt for mer enn 900 angrepsforsøk.
I desember i fjor registrerte selskapet hver time flere millioner av forsøk på å utnytte Log4j-sårbarhetene. Tallene sier dog ingenting om noen av disse angrepsforsøkene var vellykkede.
Bakdøren i Linux – en sofistikert etterretningsoperasjon?
