Firmy i organizacje z całego kraju znalazły się w poważnym niebezpieczeństwie. Polska zajmuje trzecie miejsce na świecie pod względem częstotliwości prób wykorzystania do cyberataków luki Log4j, po Japonii i Stanach Zjednoczonych. – według danych Esetu.

Co najmniej połowa polskich firm zaatakowanych

Z kolei według danych Check Pointa już we wtorek – 14.12 (stan na godz. 22:00) aż 49 proc. polskich przedsiębiorstw i organizacji mogło doświadczyć ataku wykorzystującego Log4j. Do tego czasu odnotowano 1,3 mln prób ataków na podmioty z całego świata, a 46 proc. z nich było przeprowadzanych przez znane grupy hakerskie.

Odkryty błąd naraża serwery na całym świecie na ryzyko ich całkowitego przejęcia przez cyberprzestepców i oznacza zagrożenie przypuszczalnie dla setek milionów urządzeń na świecie.

Dziurawa biblioteka Log4j służy do zbierania logów z aplikacji. Jest powszechnie używana m.in. w  usłudze Apple iCloud, usługach Amazona, na platformie Twittera czy w grach, jak np. Minecraft.

Luka Log4Shell uzyskała najwyższą notę, 10 punktów w skali CVSS (w skali od 0-10, wykorzystywany do określenia poziomów ważności wykrytych luk).

Atakują firmy i dostawców usług

Sytuacja w naszym kraju jest bardzo podobna do innych państw. Atakowane są organizacje i dostawcy usług, korzystający z rozwiązań wykorzystujących bibliotekę Apache Log4j.

Jak wyjaśnia Eset, wykorzystanie luki umożliwia hakerom zdalne wykonanie kodu poprzez przesłanie i uruchomienie go na atakowanym serwerze, a w konsekwencji przejęcie nad nim kontroli, co grozi infekcją maszyny złośliwym oprogramowaniem i paraliżem firmy.

Jeśli atakujący dostanie się do sieci lokalnej, to może wykorzystać nawet systemy wewnętrzne, które nie są podłączone do internetu. Haker nie potrzebuje fizycznego dostępu, aby uruchomić dowolny kod, który mógłby prowadzić do pełnej kontroli nad dotkniętymi nią systemami i kradzieży poufnych danych.

Jak ustalił Check Point, ataki wykorzystują zwykle lukę w Log4j do pobrania złośliwego trojana pozwalającego m.in. na wykorzystanie mocy obliczeniowych do kopania kryptowalut.

Gdy cryptominer zostanie zainstalowany, zaczyna wykorzystywać zasoby komputerów w sieci do wydobywania kryptowaluty dla zysku atakujących. Funkcje i nazwy plików są zamaskowane, aby uniknąć wykrycia przez mechanizmy analizy statycznej podstawowych antywirusów.

Jak się bronić

Eset zaleca administratorom systemów natychmiastowe sprawdzenie, czy uruchamiane przez nich aplikacje korzystają z biblioteki Log4j. Jeśli odnajdą taką aplikację w swoim systemie, biblioteka Log4j musi zostać natychmiast zaktualizowana do najwyższej wersji 2.16.0 (zagrożone podatnością są wszystkie wersje Log4j od 2.0 do 2.15.0 włącznie). Następnie należy dokładnie sprawdzić, czy system nie został już naruszony. Pomogą w tym narzędzia udostępnione w sieci.