Ara-Gen - Aktor ancaman kini secara aktif mempersenjatai server yang tidak diperbaiki sebelumnya dan juga dipengaruhi oleh kerentanan "Log4Shell" yang baru diidentifikasi di Log4j untuk menginstal penambang cryptocurrency, Cobalt Strike, dan merekrut perangkat ke botnet, bahkan ketika tanda telemetri menunjukkan cacat eksploit selama sembilan hari bahkan sebelum terungkap.
Netlab, divisi keamanan jaringan raksasa teknologi China Qihoo 360, mengungkapkan ancaman seperti Mirai dan Muhstik (alias Tsunami) mengarahkan pandangan mereka pada sistem yang rentan untuk menyebarkan infeksi dan menumbuhkan kekuatan komputasinya untuk mengatur serangan denial-of-service (DDoS) terdistribusi dengan tujuan membanjiri target dan membuatnya tidak dapat digunakan.
Muhstik sebelumnya terlihat mengeksploitasi kelemahan keamanan kritis di Atlassian Confluence (CVE-2021-26084, skor CVSS: 9,8) awal September ini.
Perkembangan terbaru datang ketika telah muncul bahwa kerentanan telah diserang setidaknya selama lebih dari seminggu sebelum di buka ke publik pada 10 Desember, dan perusahaan seperti Auvik, ConnectWise Manage, dan N-able telah mengkonfirmasi layanan mereka terkena dampak, serta memperluas ruang lingkup jangkauan cacat ke lebih banyak produsen.
"Bukti paling awal yang kami temukan sejauh ini dari eksploitasi Log4j adalah 2021-12-01 04:36:50 UTC," CEO Cloudflare Matthew Prince tweeted Minggu. "Itu menunjukkan bahwa di alam liar setidaknya sembilan hari sebelum diungkapkan secara terbuka.
Namun, jangan melihat bukti eksploitasi massal [log4j] hingga nanti setelah diungkapkan ke publik. "Cisco Talos, dalam sebuah laporan independen, mengatakan pihaknya mengamati aktivitas penyerang terkait dengan cacat sistem tersebut mulai 2 Desember.
Pelacakan CVE-2021-44228 (skor CVSS: 10.0), cacat itu menyangkut kasus eksekusi kode jarak jauh di Log4j, kerangka penebangan Apache open-source berbasis Java yang banyak digunakan di lingkungan perusahaan untuk merekam peristiwa dan pesan yang dihasilkan oleh aplikasi perangkat lunak.
Semua yang diperlukan dari musuh untuk memanfaatkan kerentanan adalah mengirim string khusus dibuat yang berisi kode berbahaya yang akan login oleh Log4j versi 2.0 atau lebih tinggi, efektif memungkinkan aktor ancaman untuk memuat kode sewenang-wenang dari domain penyerang-dikendalikan pada server rentan dan mengambil alih kontrol.
"Sebagian besar serangan yang diamati Microsoft saat ini terkait dengan pemindaian massal oleh penyerang yang mencoba mencetak jempol sistem yang rentan, serta pemindaian oleh perusahaan keamanan dan peneliti," kata Tim Intelijen Ancaman Pembela Microsoft 365 dalam sebuah analisis.
"Berdasarkan sifat kerentanan, setelah penyerang memiliki akses penuh dan kontrol aplikasi, mereka dapat melakukan segudang tujuan." Secara khusus, raksasa teknologi yang berbasis di Redmond mengatakan mendeteksi banyak kegiatan jahat, termasuk memasang Cobalt Strike untuk memungkinkan pencurian kredensial dan gerakan lateral, mengerahkan penambang koin, dan menggali data dari mesin yang dikompromikan.
Situasi ini juga telah membuat perusahaan berebut untuk meluncurkan perbaikan untuk bug. Vendor keamanan jaringan SonicWall, dalam sebuah penasehat, mengungkapkan solusi Keamanan Email-nya terpengaruh, menyatakan sedang berupaya untuk merilis perbaikan untuk masalah ini sementara terus menyelidiki sisa jajarannya.
Penyedia teknologi virtualisasi VMware, juga, memperingatkan "upaya eksploitasi di alam liar," menambahkan bahwa itu mendorong patch ke beberapa produknya. Jika ada, insiden seperti ini menggambarkan bagaimana cacat tunggal, ketika ditemukan dalam paket yang tergabung dalam banyak perangkat lunak, dapat memiliki efek riak, bertindak sebagai saluran untuk serangan lebih lanjut dan menimbulkan risiko kritis terhadap sistem yang terkena dampak.
"Semua aktor ancaman perlu memicu serangan adalah satu baris teks," kata Peneliti Keamanan Senior Huntress Labs John Hammond. "Tidak ada target yang jelas untuk kerentanan ini – peretas mengambil pendekatan semprot dan berdoa untuk mendatangkan malapetaka."
Temukan artikel atau berita tentang keamanan siber hanya disini, Bagikan berita ini jika dirasa perlu, ikuti kami di Facebook dan Linkedin, terima kasih.
Posting Komentar