Log4Shell, objevený v prosinci 2021, se rychle stal nechvalně známým jako zranitelnost roku. Přestože nadace Apache vydala záplatu pro tento CVE krátce po jeho objevení, tato zranitelnost nadále představuje obrovskou hrozbu pro jednotlivce i organizace. Během prvních tří lednových týdnů bezpečnostní řešení od společnosti Kaspersky zablokovala 30 562 pokusů o útok na uživatele pomocí exploitů zaměřených na zranitelnost Log4Shell.

CVE-2021-44228 nebo jinak řečeno Log4Shell je zranitelnost typu Remote Code Execution (RCE). To znamená, že pokud dojde ke spuštění škodlivého kódu, útočníci dokáží převzít kontrolu nad celým systémem. Na destibodové stupnici závažnosti je CVE ohodnocené stupněm 10.

Oprava již existuje, ale mnozí neaktualizovali software

Od doby, kdy byl zaznamenaný první útok, řešení Kaspersky detekovala a zabránila 154 098 pokusům o skenování a útok na zařízení prostřednictvím cílení na zranitelnost Log4Shell. Nejvíce napadených systémů se nacházelo v Rusku (13 %), Brazílii (8,97 %) a USA (7,36 %).

Ačkoli Apache Foundation již vydala opravu pro zranitelnost CVE, trvá týdny nebo měsíce, než dodavatelé aktualizují svůj software. A útočníci tedy mohou pokračovat v rozsáhlých skenech, aby Log4Shell využili. V prvních třech lednových týdnech produkty Kaspersky zablokovaly 30 562 pokusů o útok na uživatele prostřednictvím zranitelnosti Log4Shell. Téměř 40 % těchto pokusů bylo navíc odhaleno během prvních pěti dnů v měsíci, od 1. do 5. ledna 2022.

„Vidíme, že počty skenování a pokusů o útok pomocí Log4Shell postupně klesají. Ale snaha o zneužití této zranitelnosti přetrvává. Jak ukazuje naše telemetrie, kyberzločinci pokračují v hromadném skenování a pokoušejí se využít zneužitelný kód. Této zranitelnosti využívají jak pokročilí aktéři hrozeb, kteří se zaměřují na konkrétní organizace, tak oportunisté, kteří jednoduše hledají jakékoli zranitelné systémy, na něž by mohli zaútočit. Vyzýváme všechny, kteří tak ještě neučinili, aby provedli opravu a použili silné bezpečnostní řešení, aby se ochránili,“ vyzývá Evgeny Lopatin, bezpečnostní expert společnosti Kaspersky.

Produkty Kaspersky chrání před útoky využívajícími zranitelnosti, včetně použití PoC pod následujícími názvy:

  • UMIDS:Intrusion.Generic.CVE-2021-44228.
  • PDM:Exploit.Win32.Generic

Experti společnosti Kaspersky doporučují:

  • Nainstalujte si nejnovější verzi softwaru. Je k dispozici na stránkách projektu. Pokud používáte produkty třetích stran, je potřeba sledovat nejnovější aktualizace.
  • Postupujte podle pokynů projektu Apache Log4j: https://logging.apache.org/log4j/2.x/security.html.
  • Pro firemní využití je nejvýhodnější zabezpečit se řešením, které nabízí komplexní ochranu jako například Kaspersky Endpoint Security for Business. Nástroj společnosti Kaspersky Automatic Exploit Prevention také monitoruje veškeré podezřelé aktivity a blokuje je.
  • Nasaďte řešení jako Kaspersky Endpoint Detection and Response nebo Kaspersky Managed Detection and Response, které pomáhají zastavit útoky v jejich úplném počátku a zabrání v provedení kyberútoku.