Vírusový radar: Log4Shell nás bude strašiť aj v roku 2022
Rok 2021 máme úspešne za sebou, a to bez výhľadu pozitívnejších zajtrajškov v oblasti kybernetického zločinu či v úsilí štátov využívať a zneužívať virtuálny priestor na kybernetickú vojnu. Tá však má, samozrejme, aj reálne následky vo fyzickom svete – rovnako ako v prípade kybernetických zlodejov.
S rokom 2021 sme sa rozlúčili kritickou zraniteľnosťou Log4Shell. Jej následky už v roku 2021 boli vcelku dramatické a dá sa očakávať, že bezpečnostné hrozby si k nej budú nachádzať cestu aj naďalej. Jednoducho nás bude strašiť aj počas tohto roka. V prípade jej nezaplátania v organizácii môže napáchať obrovské škody. Obeť pritom môže špehovať, ukradnúť jej citlivé údaje, nainštalovať do jej siete ransomvér a ľubovoľný iný škodlivý kód či sabotovať jej systémy.
V prípade tejto zraniteľnosti ide o mimoriadne rozšírenú softvérovú knižnicu Log4j, a preto zraniteľnosť dostala názov Log4Shell. Tá útočníkom umožňuje na zariadení diaľkové spustenie akéhokoľvek kódu a v konečnom dôsledku aj získanie úplnej kontroly nad napadnutým zariadením. Ak takýmto spôsobom útočníci infikujú napríklad server, môžu sa prepracovať aj do internej siete a infiltrovať sa aj do ďalších systémov a zariadení, ktoré ani nemusia byť pripojené k internetu. V kombinácii s vysokou rozšírenosťou Log4j tak ide podľa stupnice zraniteľností o kritickú vulnerabilitu s najvyššou hodnotou 10 bodov z 10.
Len koncom roka sme v ESETe zaznamenali stovky tisícov pokusov o útoky zneužívajúce práve túto zraniteľnosť, dnes sa už môžu odhadovať v mnohých miliónoch. Najpostihnutejšie sú Spojené štáty a krajiny západnej Európy. Vieme však uzavrieť, že terčom je celý svet a každý jeho kút pripojený k internetu, kde sa neopravený Log4j nachádza.
Riešenie je síce vcelku priamočiare, hoci v prípade komplexných firemných systémov nemusí byť úplne jednoduché. V prvom rade je podľa našich expertov nevyhnutné overiť, či sa táto knižnica v našom systéme nachádza, a následne ju aktualizovať. Ako zvyčajne je potrebný bezpečnostný softvér, ktorý dokáže prípadným útokom zabrániť alebo túto hrozbu aspoň minimalizovať. V každom prípade aj ítečkári tu na Slovensku zrejme nemali šťastné či veselé Vianoce a Nový rok.
Log4Shell však nie je jediná zaujímavá vec z konca roka. Druhú som vybral priamo z našej výskumnej kuchyne, ehm, laboratória. Naši kanadskí výskumníci v Montreale Alexis Dorais-Joncas a Facundo Muñoz sa pozreli na siete izolované od internetu a na to, akým hrozbám čelili za posledných 15 rokov. Ich bádanie trvalo viac ako rok. Práve tieto typy útokov zneužívajú štáty, ktoré som spomínal už v úvode tohto stĺpčeka.
Dovedna rozanalyzovali 17 škodlivých frameworkov, pri ktorých útočníci napadli tieto izolované siete (tzv. air-gapped networks). Air-gapped siete sú fyzicky odizolované od akýchkoľvek ďalších sietí a najmä od internetu. Keďže sa tým zvyšuje ich bezpečnosť, obyčajne sa používajú pri najcitlivejších systémoch, ako sú napríklad systémy na ovládanie ropovodov, dodávok elektriny, ale aj centrifúgy na obohacovanie uránu či volebné systémy.
Tieto kritické systémy sú terčom veľkého záujmu skupín APT, ktoré sú často sponzorované štátmi alebo sú súčasťou štátnej agendy. Ak útočníci preniknú do izolovaných systémov, môžu získať tajné a citlivé informácie a špehovať vlády a iné organizácie. Iba v prvej polovici roka 2020 boli odhalené 4 škodlivé frameworky navrhnuté tak, aby napádali izolované siete.
Pre organizácie, ktoré pracujú so systémami kritickej infraštruktúry alebo s tajnými informáciami, môže byť strata údajov devastačná. Naše zistenia ukazujú, že všetky frameworky sú vytvorené na účel nejakého druhu špionáže. Zároveň všetky frameworky využili nosiče USB ako médium na fyzický prenos dát do izolovanej siete alebo z nej.
No a na úplný záver spomeniem aj podcast, ktorý sme v našom labe spustili. Hoci je iba v anglickom jazyku, som si istý, že si nájde pravidelných poslucháčov aj z radov čitateľov Nextechu. Teda nie tak celkom pravidelných, keďže bude zverejňovaný prudko nepravidelne.
Ak vás teda vždy zaujímalo, čo sa deje za oponou a v pozadí našich zistení, resp. výskumu kybernetickej bezpečnosti, tento podcast vašu zvedavosť dozaista aspoň trochu ukojí. Budeme ho zverejňovať formou rozhovoru s našimi výskumníkmi vždy, keď nám v labe zasvieti kontrolka „breaking news“. V prvej epizóde náš americký výskumník Aryeh Goetsky vyspovedal Zuzanu Hromcovú, autorku výskumu, ktorý bol prezentovaný aj na prestížnej konferencii BlackHat.
Dúfam, že prvé tohtoročné čítanie o dobrodružstvách z labu bolo pre vás zaujímavé a rovnako bude aj podcast, ktorý nájdete na všetkých veľkých podcastových platformách ako PodBean, Apple, Google a Spotify. A kým vyjde ďalší Nextech, želám vám príjemné a hlavne bezpečné brázdenie internetového priestoru.
