Cloudflare: misbruik Log4j-lek negen minuten na openbaarmaking

[Captain Kirk]

De kwetsbaarheid in Apache Log4j is negen minuten na de openbaarmaking van het beveiligingslek op 9 december voor het eerst misbruikt, zo stelt internetbedrijf Cloudflare. Inmiddels zijn de eerste ransomware-aanvallen via het lek waargenomen en maken ook statelijke actoren er misbruik van, aldus Microsoft.

Afgelopen maandag meldde Cloudflare nog dat het eerste misbruik van de Log4j-kwetsbaarheid op 1 december was waargenomen. Eerder stelde Cisco dat het activiteit van aanvallers met betrekking tot het beveiligingslek op 2 december had gezien. Cloudflare heeft nu iets meer details gegeven en stelt dat het op 1 december alleen "beperkte tests" van de kwetsbaarheid heeft waargenomen.

Het eerste daadwerkelijke waargenomen misbruik vond negen minuten na de openbaarmaking van de kwetsbaarheid plaats, toen een onderzoeker de details via Twitter en GitHub deelde. Volgens Cloudflare laat dit zien hoe snel aanvallers zich op nieuw gevonden kwetsbaarheden storten.

Volgens antivirusbedrijf Bitdefender zijn de meeste Log4j-aanvallen gericht tegen Linux-servers, maar zijn er ook aanvallen tegen Windows-servers waargenomen. Bij deze aanvallen probeerden aanvallers de Khonsari-ransomware te installeren. Deze ransomware versleutelt allerlei bestanden op de server. Volgens securitybedrijf Cado Security is de ransomware zeer beperkt verspreid en is het onwaarschijnlijk dat veel organisaties erdoor zijn getroffen.

Microsoft meldt via de eigen website dat inmiddels ook statelijke actoren uit China, Iran, Noord-Korea en Turkije van de Log4j-kwetsbaarheid gebruikmaken. Een Chinese groep genaamd Hafnium zou via het beveiligingslek niet nader genoemde virtualisatie-infrastructuur aanvallen. Verder stelt Microsoft dat ook meerdere criminele groepen het lek gebruiken om toegang tot systemen te krijgen en deze toegang mogelijk doorverkopen aan ransomwaregroepen.

 

bron: https://www.security.nl