Scanning etter Log4j-svakheter begynte allerede 1. desember. Zero-Day utnyttelse mot svært mye brukt Java-bibliotek Log4j. Volvo avslører sikkerhetsbrudd som fører til FoU-datatyveri.
Scanning etter Log4j-svakheter begynte allerede 1. desember
| Cloudflare-sjef Matthew Prince skriver på twitter at de tidligste bevisene de har funnet så langt på #Log4J-utnyttelse er 2021-12-01 04:36:50 UTC. Cisco Talos meddelte i et blogginnlegg at de observerte aktivitet i forbindelse med sårbarheten kjent som CVE-2021-44228 fra 2. desember, og de som leter etter indikatorer på kompromitterte servere bør utvide søkene sine til minst så langt tilbake. Det rapporteres ellers at svakheten nå blir utnyttet av botnett til å rekruttere nye servere ved å infisere dem. Mange er også nervøse for at noen skal utvikle en orm som benytter seg av svakheten. En slik orm kan komme til å komme seg på innsiden av bedriftsnettverk, og dermed spre seg internt i nettet uten å bli stoppet av brannmurer og andre eksterne sikkerhetstiltak. |
||||
| Referanser | ||||
|---|---|---|---|---|
|
https://www.zdnet.com/article/log4j-rce-activ[...] https://arstechnica.com/information-technolog[...] |
Zero-Day utnyttelse mot svært mye brukt Java-bibliotek Log4j
| Log4j er et populært Java-bibliotek utviklet og vedlikeholdt av Apache-stiftelsen. Fredag morgen kom de første rapportene om en kritisk sårbarhet i et populært Java-bibliotek kalt «Log4j». På tidspunktet for mottak av disse rapportene har sårbarheten tilsynelatende blitt utnyttet av trusselaktører i flere dager. Selv om visse produkter kan være sårbare, betyr det ikke nødvendigvis at sårbarheten kan utnyttes med hell, da dette avhenger av flere pre- og postbetingelser som JVM-en som brukes, den faktiske konfigurasjonen osv. En må regne med at mer spesfikke verktøy for å utnytte forskjellige sårbare systemer vil utvikles etter hvert. Alle versjoner av log4j mellom versjon 2.0 og 2.14.1 er sårbare. Så langt er det ikke meldt om storstilt vellykket utnyttelse av svakheten i Norge. De vellykkede forsøkene som er observert så langt utenfor Norge ble brukt til å distribuere botnett-programvare som Mirai2, Kinsing3 og Tsunami3 (aka Muhstik). Disse botnettene brukes primært til å starte DDoS-angrep (Mirai, Tsunami) eller å utvinne kryptovalutaer (Kinsing). Organisasjoner og myndigheter oppfordres til å sjekke programvare for bruk av Log4j og ta i bruk de oppdateringene eller mitigerende tiltak som er lagt ut. Mange leverandører har allerede sluppet oppdaterte versjoner av sine produkter for å eliminere svakheten. Blant disse er Cisco, Ubiquiti, VMWare, F-Secure og Oracle. Flere tusen produkter er sårbare for svakheten. Dersom en leverandør enda ikke har levert en oppdatering, finnes det måter å mitigere svakheten på inntil en oppdatering er klar. Se vedlagte Github-lenke for oppdatert informasjon om IOCer, mitigering, scanner-verktøy for å finne sårbare systemer og en liste over sårbar programvare. |
||||
| Referanser | ||||
|---|---|---|---|---|
|
https://nsm.no/aktuelt/kritisk-sikkerhetshull[...] https://www.govcert.ch/blog/zero-day-exploit-[...] https://www.rumble.run/blog/finding-log4j/ https://github.com/NCSC-NL/log4shell |
Volvo avslører sikkerhetsbrudd som fører til FoU-datatyveri
| Ukjente hackere har stjålet forsknings- og utviklings-informasjon fra Volvo sine servere. Snatch løsepengevirus gruppen sier at de står bak angrepet. Så langt har banden lekket 39.5MB med data som de hevder stammer fra innbruddet. | ||||
| Referanser | ||||
|---|---|---|---|---|
|
https://www.bleepingcomputer.com/news/securit[...] |