מיקרוסופט הבחינה בתוקפים רבים שהוסיפו ניצול של פגיעויות של Log4j

בחודש שעבר, מספר פגיעויות של ביצוע קוד מרחוק (RCE) (CVE-2021-44228, CVE-2021-45046, CVE-2021-44832) דווחו ב- Apache Log4j, רכיב קוד פתוח בשימוש נרחב המשמש תוכנות ושירותים רבים. פגיעויות אלו הובילו לניצול נרחב כולל סריקה המונית, כריית מטבעות, הקמת פגזים מרוחקים ופעילות צוות אדום. ב-14 בדצמבר, צוות Apache Log4j 2 שוחרר Log4j 2.16.0 כדי לתקן את הפגיעויות הללו. עד להחלת התיקון, כל השרתים הקיימים הפועלים Apache Log4j יהיו יעד פוטנציאלי עבור האקרים.

מיקרוסופט עדכנה לאחרונה את ההנחיות שלה למניעה, זיהוי וציד אחר ניצול של הפגיעות Log4j 2. לפי מיקרוסופט, תוקפים מנצלים באופן פעיל את הפגיעויות של Log4j וניסיונות הניצול נותרו גבוהים במהלך השבועות האחרונים של דצמבר. מיקרוסופט ציינה שתוקפים קיימים רבים הוסיפו ניצול של פגיעויות אלו בערכות ובטקטיקות התוכנות הזדוניות הקיימות שלהם ויש פוטנציאל גבוה לשימוש המורחב בפגיעויות Log4j.

מיקרוסופט פרסמה את ההנחיות הבאות ללקוחות:

• לקוחות מוזמנים להשתמש בסקריפטים ובכלי סריקה כדי להעריך את הסיכון וההשפעה שלהם.
• מיקרוסופט צפה בתוקפים המשתמשים ברבות מאותן טכניקות מלאי כדי לאתר מטרות. יריבים מתוחכמים (כמו שחקנים במדינות לאום) ותוקפי סחורות כאחד נצפו מנצלים את הפגיעויות הללו.
• Microsoft ממליצה ללקוחות לבצע סקירה נוספת של מכשירים שבהם מתגלות התקנות פגיעות.
• לקוחות צריכים להניח זמינות רחבה של קוד ניצול ויכולות סריקה כדי להוות סכנה אמיתית ונוכחת לסביבתם.
• בשל התוכנות והשירותים הרבים המושפעים ובהתחשב בקצב העדכונים, צפוי לזה זנב ארוך לתיקון, הדורש ערנות מתמשכת ובת קיימא.

מקור: מיקרוסופט