פרצת הענק שנחשפה בסוף השבוע, ומשפיעה כמעט על כל מכשיר בעולם המחובר לאינטרנט, נודעה להאקרים עוד לפני פרסומה בפומבי – אך מצד שני, כעת הרבה יותר האקרים מודעים אליה, ולכן הסכנה שהיא מהווה התגברה עוד יותר לאחר הפרסום.

לפי ענקית הסייבר הישראלית צ'קפוינט, ב-12 השעות שלאחר פרסום הפרצה זיהתה החברה 40,000 ניסיונות ניצול שלה. המספר קפץ תוך מספר שעות נוספות ליותר מ-60,000, אך ביממה וחצי האחרונה, לאחר שהעולם כולו החל לדבר עליה, הוא זינק ליותר מ-800,000, על שליש מהרשתות הארגוניות בעולם.

אתמול חשף מייסד ומנכ"ל ענקית שירותי הענן Cloudflare, מת'יו פרינס, בציוץ בטוויטר כי החברה גילתה ניצולים של הפרצה שבוע וחצי לפני חשיפתה – אך הפרסום הגביר את הניצול באופן אקספוננציאלי. "הראיות המוקדמות ביותר שמצאנו עד כה לפרצה הן מ-01.12.2021 בשעה 4:36 לפנות בוקר לפי שעון לונדון. לפי זה, היא היתה קיימת לפחות 9 ימים לפני שנחשפה בפומבי. עם זאת, לא ראינו ניצול נרחב שלה עד לאחר החשיפה הפומבית", הוא כתב.
 

Earliest evidence we’ve found so far of #Log4J exploit is 2021-12-01 04:36:50 UTC. That suggests it was in the wild at least 9 days before publicly disclosed. However, don’t see evidence of mass exploitation until after public disclosure.

— Matthew Prince 🌥 (@eastdakota) December 11, 2021

גם מעבדת Talos של סיסקו מדווחת כי גילתה ניצול של הפרצה כבר מה-2 בדצמבר. היא לא חשפה את ההבדל בהיקף הניצול לפני הפרסום ואחריו.

כזכור, הפרצה המדוברת נמצאה לקראת סוף השבוע שעבר על ידי חוקרים שחיפשו פרצות במשחק הפופולארי מיינקראפט מבית מיקרוסופט. היא נמצאת בספריית קוד לרישום שגיאות בעזרת ג'אווה, שמהווה חלק מהקוד הפתוח Apache שנפוץ כל כך עד כי כמעט כל תוכנה, אפליקציה ומכשיר בעולם משתמשים בה.

מאז הפרסום ביום שישי, אפצ'י הוציאה תיקון לפרצה – אך רק חלק קטן מהחברות שהשתמשו בו בשירותים שלהן הספיקו להוציא עדכונים הסותמים את הפרצה, ובינתיים האקרים וחוקרי אבטחה כאחד חורשים את האינטרנט בחיפוש אחר מכשירים פרוצים – הראשונים כדי לנצל אותם על ידי התקנת תוכנות זדוניות הכורות מטבעות קריפטוגרפיים, שואבות מידע או הופכות את המכשיר ל"חייל" ב"בוטנט" – רשת מחשבים "זומבים" שמשמשת ל"מתקפת שירות מבוזרת" (DDoS) על מטרות על ידי יצירת עומס.

לוטם פינקלשטיין, מנהל מחלקת מחקר ומודיעין סייבר בצ'קפוינט, אומר כי "מאז שישי, אנו רואים התפשטות אקספוננציאלית של ניצול החולשה הזו, עם יותר מ-60 וריאנטים שונים של המתקפה המקורית. כך, למשל, ניתן לנצל את החולשה גם בפורמט http וגם ב-https המאובטח יותר, וההאקרים מנצלים כל דרך לנסות ולעקוף הגנות קיימות, כך שהגנה אחת לא תספיק.

הוא ממשיך ואומר כי "בשונה מהתקפות סייבר רגילות, בהן משתמשים בתוכנה אחת כזו או אחרת, הספרייה המדוברת מוטמעת בכל מוצר המבוסס על Java. מאד קל לנצל את החולשה הזו, ומאד קשה להגן מפניה. חברות שלא מתקינות הגנה ייעודית סביב החולשה הזו – סביר שתהיינה מותקפות, והאירוע הזה ילווה אותנו שנים, בגלל שכמעט כל חברה כיום משתמשת בספריה הזו. ככה בדיוק נראית מגיפת סייבר – מדבקת מאד, רחבת היקף, עלייה מהירה מאד בקצב ההדבקות עם פוטנציאל נזק גדול. זה הזמן לפעול ולהתקין הגנות נגד החולשה הזו ולצאת מנקודת הנחה שהשינויים בה יצריכו, כמו בקורונה, לייצר הגנות נוספות ולהטמיע אותן".

גם שון גלגהר, חוקר איומים בכיר ב-Sophos, מזהיר כי "חולשות Log4Shell מייצרת אתגר מסוג שונה למגינים; חולשות רבות בתוכנות מוגבלות למוצר או פלטפורמה מסוימת. ברגע שהמגינים יודעים מהי התוכנה הפגיעה, הם יכולים לבדוק ולעדכן אותה. עם זאת, Log4Shell היא ספרייה המשמשת מוצרים רבים. לכן, היא עלולה להופיע בפינות האפלות ביותר של התשתית הארגונית, כולל בתוכנות שפותחו על ידי החברה עצמה. סופוס צופה כי המהירות בה התוקפים רותמים למטרותיהם את החולשות רק תגבר, ושיטות הפעולה יהיו מגוונות יותר במהלך הימים והשבועות הקרובים".

פול דאקלין, מדען מחקר ראשי בסופוס, מוסיף כי "המספר המדהים של דרכים שונות בהן ניתן להפעיל את Log4Shell, המספר העצום של המקומות השונים בתעבורת הרשת בהן הקוד יכול להופיע, והמגוון העצום של השרתים והשירותים אשר עלולים להיפגע, הופכים יחד לאיום גדול הפועל נגד כולנו. התגובה הטובה ביותר היא ברורה לגמרי: עדכון המערכות שלכם ברגע זה".

דוד ורשבסקי, סמנכ"ל אבטחה ארגונית בחברת Sygnia של Team8 ו-Temasek, המספקת שירותי ייעוץ ותגובה למתקפות סייבר מורכבות עבור ממשלות וארגונים גדולים גלובליים, מציין כי "ל-Cloudflare יש כיסוי נרחב, אבל בהחלט ייתכן שהיו תקיפות רחבות עוד לפני (המועד שבו החברה זיהתה לראשונה את ניצול הפרצה). חוקרים סינים טוענים שהם מצאו את החולשה ודיווחו עליה ל-Apache עוד בנובמבר, אבל זה עוד לא אושר. כבר ב-2016 הציגו בכנס Blackhat וקטור תקיפה שהחולשה הזו מנצלת, והחולשה עצמה קיימת מ-2013. בשילוב כל הגורמים האלה, סביר להניח שהחולשה הייתה ידועה לגורמי ביון/תוקפים ברמת תחכום גבוהה".

עוד ב-

פרצה חמורה בכל המכשירים: זה מה שאתם חייבים לעשות

לכתבה המלאה

משה ציוני, סמנכ"ל מחקר סייבר בסטארט-אפ Apiiro, אומר כי "התפרצות כמו שאנחנו חווים עכשיו אינה התפרצות רגילה. החבילה log4j, שאחראית למפגע המקורי, יכולה להתחבא באלמנטים שונים ב"שרשרת האספקה" של התוכנות שאנחנו משתמשים בהן. מה שגורם כרגע לכולם ללחץ - מוצדק - היא העובדה שקשה מאוד לאתר היכן החבילה הזו שוכנת בתוכנות השונות שמפתחים ארגונים, כי המידע הזה קשה לפיענוח מהסתכלות על התוכנה באופן שטחי, ודרוש ניתוח מעמיק ורב-שלבי כדי לנסות לאתר בהצלחה את התלויות הפנימיות בתוכנות. המרדף חתול-ועכבר שמתרחש כרגע בעולם מקורו בחוסר היכולת להבחין בכך מהר. הטכנולוגיה שלנו מאפשרת למצוא את המפגע המדובר בקוד שהארגון מחזיק בו, ואף להירשם בחינם לפתרון שמאפשר זיהוי בזק ואבחנה מדויקת של השימושים ב-log4j".