Декабрь: Зерна уязвимости Log4Shell и BritChip

Тренды на 2022

В конце года принято подводить итоги прошедших 12 месяцев и строить планы на следующий год. Редакция портала Threatpost провела опрос специалистов по информационной безопасности, чтобы выяснить основные тенденции, за которыми стоит следить в 2022 году [1]. Первой тенденцией является активное вмешательство в рынок и технологии информационной безопасности правительств разных стран, причем как для усиления защиты собственной критической инфраструктуры, так и для стресс-тестирования чужого киберпространства. Второй важной темой в информационной безопасности будет социальная инженерия, которая не останется в прошлом. Третьей тенденцией эксперты назвали использование цепочек поставок для внедрения программ-шифровальщиков. Четвертой темой является активно развитие услуг по заражению вымогателями для малого бизнеса — партнерские программы для вымогателей, скорее всего, будут и в дальнейшем процветать. Пятым трендом исследователи указали потребность в координации действий всех участников рынка информационной безопасности.

Вход через архив

В декабре была обнаружена одна из наиболее опасных уязвимостей современного Интернета — Log4Shell, получившая название от специалистов компании LunaSec [2]. Уязвимость была обнаружена на серверах Minecraft и заключалась в манипулировании архивом сообщений чата игры. Ошибка была зарегистрирована как CVE-2021-44228 и получила максимальную оценку опасности по CVSS — 10 из 10. Ошибка была допущена в библиотеке составления архивов на Java Jog4j, которая является частью популярного веб-сервер Appache. Эксплойт для уязвимости был выпущен в считанные дни и очень быстро распространился среди хакеров [3]. В основном злоумышленники ставили на уязвимые сервера криптомайнеры, однако в некоторых случаях были замечены и более вредоносные программы.

Обнаружилось, что библиотека Log4j была встроена также в большое количество коммерческих программ и облачных сервисов практически всех крупных производителей: Amazon, Apple, ElasticSearch, Google, Tesla, Twitter, VMWare и огромного числа других продуктов и сервисов. Поэтому коммерческие компании очень быстро стали избавляться от уязвимых компонент. Например, через несколько дней после обнаружения Log4Shell компания SAP выпустила исправления для своих уязвимых продуктов [4]. Мы также писали про исправление этой уязвимости компанией CrossTech Solutions Group [5]. Производители средств защиты также быстро начали выпускать инструменты для обнаружения и исправления уязвимости — о чем мы писали в наших новостях [6].

В то же время хакеры в течении декабря начали встраивать инструменты для использования уязвимости в свои производственные цепочки. Например, появились сообщения, что хакерская группировка Conti, которая специализируется на вымогателях, использует Log4Shell в своей вредоносной деятельности [7]. Также исследователи безопасности зафиксировали, что эксплойты этой уязвимости были использованы APT-группировкой Aquatic Panda [8].

Когда же хакеры оценили распространение одной небольшой библиотеки по миру, то они продолжили ее изучать, и обнаружили еще несколько уязвимостей [9], которые были несколько менее опасны, но тем не менее позволяли злоумышленникам атаковать уязвимые сервера, захватывать их или выводить из строя. Впрочем, продолжили исследовать и сам веб-сервер Appache, в котором обнаружилось еще две уязвимости: переполнение буфера и переход по нулевому указателю (последний вызывает DoS) [10]. Ошибки даже начали искать и в сторонних проектах сообщества Appache. Так исследователи проанализировали большое количество установок инструмента для обработки больших данных Apache Kafka [11] и обнаружили множество ошибок в конфигурации, которые позволяли посторонним получить доступ к хранимой в Apache Kafka информации.

Декабрьские утечки

Впрочем, утечек в декабре было не сильно больше, чем обычно. В частности, компания Volvo подтвердила утечку части своей интеллектуальной собственности, которая произошла 10 декабря [12]. Пока не совсем понятно связана ли она с Log4Shell, но по срокам эта атака вполне может быть следствием обнаружения этой уязвимости.

Центр ДНК-диагностики (DDC) из города Фэрфилд, штат Огайо, сообщил об утечке данных, в ходе которой хакеры украли конфиденциальные, личные и финансовые данные более 2,1 миллиона клиентов и пользователей [13]. Впрочем, утечка была обнаружена в ноябре, а произошла она вообще в августе 2020 года. Так что про утечки, организованные с помощью Log4Shell мы, скорее всего, узнаем уже в следующем году.

В декабре также стало официально известно, что в результате инцидента с безопасностью в отделении компании Planned Parenthood в Лос-Анджелесе (PPLA) были скомпрометированы личные данные около 400 тыс. пациентов [14]. Инцидент произошел в октябре, но сведения о нем официально были подтверждены только сейчас.

Обнаружилось, что личная информация, содержащая имена, адреса, реквизиты банковских счетов и налоговые удостоверения 38 тыс. австралийских государственных служащих, просочилась в Даркнет после атаки программы-вымогателя [15]. Причем атакован был аутсорсинговый поставщик заработной платы компания Frontier Software.

Наступление против вымогателей

Как заявил [16] генерал Пол Накасоне, глава Киберкомандования США и директор Агентства национальной безопасности (АНБ), американские военные предприняли наступление против групп вымогателей. Киберкомандование, АНБ и другие агентства сосредоточились на сборе разведывательных данных о злоумышленниках, использующих программы-вымогатели, и обмене ими как с правительством, так и с международными партнерами, говорится в отчете, в котором этот подход к угрозе программ-вымогателей называется «более агрессивным и лучше скоординированным». Хотя генерал не уточнил, какие наступательные действия были предприняты или против каких групп они были предприняты — он лишь отметил, что одной из целей было «увеличить расходы группировок», что является «важной частью, о которой мы всегда должны помнить». Возможно, мы еще узнаем о громких арестах хакеров, которые будут задержаны по данным из американской военной разведки.

Импортозамещение Ее Величества

Британское правительство запустило Национальную киберстратегию стоимостью в 2,6 миллиарда фунтов стерлингов, призванную обратить внимание государственных чиновников на кибератаки, защиту и технологии в течении следующих трех лет. Одной из статьей расходов является разработка нового поколения чипов для смартфонов к 2025 году и создание полной производственной цепочки для производства микроэлектроники внутри страны. Причем, английский чип (BritChip) должен будет содержать разработанные в Великобритании функции безопасности на уровне дизайна. В рамках программы, помимо прочего, компании ARM, владельцу лицензий на все процессоры ARM-архитектуры, было выделено некоторое финансирование для разработки прототипа, включающего архитектуру Capability Hardware Enhanced RISC Registration (CHERI).

[1] https://threatpost.com/5-cybersecurity-trends-2022/177273/

[2] https://threatpost.com/zero-day-in-ubiquitous-apache-log4j-tool-under-active-attack/176937/

[3] https://threatpost.com/apache-log4j-log4shell-mutations/176962/

[4] https://threatpost.com/sap-log4shell-vulnerability-apps/177069/

[5] https://www.connect-wit.ru/crosstech-lataet-prorehu.html

[6] https://www.connect-wit.ru/kak-latat-log4shell.html

[7] https://threatpost.com/conti-ransomware-gang-has-full-log4shell-attack-chain/177173/

[8] https://threatpost.com/aquatic-panda-log4shell-exploit-tools/177312/

[9] https://www.theregister.com/2021/12/19/log4j_new_flaw_cve_2021_45105/

[10] https://threatpost.com/apache-httpd-server-bugs-rce-dos/177234/

[11] https://threatpost.com/apache-kafka-cloud-clusters-expose-data/176778/

[12] https://www.darkreading.com/threat-intelligence/volvo-confirms-r-d-data-stolen-in-breach

[13] https://www.hackread.com/dna-testing-service-data-breach-users-impacted/

[14] https://www.darkreading.com/attacks-breaches/planned-parenthood-la-breach-compromises-400-000-patients-data

[15] https://www.theregister.com/2021/12/10/frontier_software_ransomware_incindent

[16] https://www.darkreading.com/threat-intelligence/us-military-has-acted-against-ransomware-groups-report

[17] https://www.theregister.com/2021/12/16/national_cyber_strategy_uk_launched/

Следите за нашими новостями в Телеграм-канале Connect


Поделиться:



Следите за нашими новостями в
Телеграм-канале Connect

Спецпроект

Медицинские задачи для ИИ

Подробнее
Спецпроект

Цифровой Росатом

Подробнее


Подпишитесь
на нашу рассылку