“Sinds 9 december heeft Sophos honderdduizenden pogingen gedetecteerd om op afstand code uit te voeren met behulp van de Log4Shell-kwetsbaarheid. Aanvankelijk waren dit Proof-of-Concept (PoC) exploittests door onder meer beveiligingsonderzoekers en potentiële aanvallers, evenals vele online scans op de kwetsbaarheid. Dit werd al snel gevolgd door pogingen om coin miners te installeren, waaronder het Kinsing miner botnet. De meest recente informatie suggereert dat aanvallers het beveiligingslek proberen te misbruiken door de keys die door Amazon Web Service-accounts worden gebruikt, bloot te leggen. Er zijn ook tekenen dat aanvallers het beveiligingslek proberen te misbruiken om tools voor externe toegang in slachtoffernetwerken te installeren, mogelijk Cobalt Strike, een belangrijk hulpmiddel bij veel ransomware-aanvallen.
“De Log4Shell-kwetsbaarheid vormt een ander soort uitdaging voor IT-teams. Veel softwarekwetsbaarheden zijn beperkt tot een specifiek product of platform, zoals de
ProxyLogon- en
ProxyShell-kwetsbaarheden in Microsoft Exchange. Zodra IT-teams weten welke software kwetsbaar is, kunnen ze deze controleren en patchen. Log4Shell is echter een bibliotheek die door veel producten wordt gebruikt. Het kan daarom aanwezig zijn in alle uithoeken van de infrastructuur van een organisatie, bijvoorbeeld in-house ontwikkelde software. Het vinden van alle systemen die kwetsbaar zijn vanwege Log4Shell moet een prioriteit zijn voor beveiligingsteams.
“Sophos verwacht dat de snelheid waarmee aanvallers de kwetsbaarheid benutten en gebruiken de komende dagen en weken alleen maar zal toenemen en diversifiëren. Zodra een aanvaller de toegang tot een netwerk heeft veiliggesteld, kan elke infectie volgen. Daarom moeten IT-beveiligingsteams, naast de software-update die al door Apache is uitgebracht in Log4j 2.15.0, een grondige beoordeling van de activiteit op het netwerk uitvoeren om eventuele sporen van indringers op te sporen en te verwijderen, zelfs als het er alleen maar uitziet als hinderlijke commodity-malware.”
Over Sophos
Sophos is een wereldwijde leider in next-gen cyberbeveiliging en beschermt meer dan 500.000 organisaties en miljoenen consumenten in meer dan 150 landen tegen de meest geavanceerde cyberdreigingen van vandaag. Aangedreven door threat intelligence, AI en machine learning van SophosLabs en SophosAI, levert Sophos een breed portfolio van geavanceerde producten en diensten om gebruikers, netwerken en endpoints te beveiligen tegen ransomware, malware, exploits, phishing en het brede scala aan andere cyberaanvallen. Sophos biedt een enkele geïntegreerde cloudgebaseerde beheerconsole, Sophos Central – het middelpunt van een adaptief cyberbeveiligingsecosysteem met een gecentraliseerd data lake dat gebruik maakt van een uitgebreide reeks open API's die beschikbaar zijn voor klanten, partners, ontwikkelaars en andere leveranciers van cyberbeveiliging. Sophos verkoopt haar producten en diensten via resellerpartners en managed service providers (MSP's) wereldwijd. Het hoofdkantoor van Sophos is gevestigd in Oxford, VK. Meer informatie is beschikbaar op
www.sophos.com.
Voor meer informatie
Favorite Agency
Linda van Essen, Annerieke Kamphuis
sophos@favorite.agency