Volgens functionarissen van het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) konden ze, ondanks aanvankelijke zorgen over een wijdverbreid compromis, geen significante schade vinden die werd veroorzaakt door het misbruiken van een kwetsbaarheid in het op Java gebaseerde hulpprogramma Log4j, dat in december werd gepubliceerd. . Ze kunnen echter niet uitsluiten dat de aanvaller deze kwetsbaarheid heeft gebruikt om de aangevallen machine heimelijk te volgen, ter voorbereiding op de volgende aanval. “We hebben actief de dreigingsactoren gemonitord die het meest waarschijnlijk misbruik maakten van de kwetsbaarheid (Log4Shell genaamd), en op dit moment is niet bewezen dat er significant is geknoeid met de exploit”, zei Jen Easterly, directeur van CISA, tijdens een nieuwsbericht. conferentie. “Maar kwaadwillenden kunnen deze kwetsbaarheden gebruiken om blijvende toegang te krijgen voor toekomstige aanvallen. Daarom zijn we zo gefocust op het nationaal patchen van kwetsbaarheden en het detecteren van inbraken wanneer ze zich voordoen. “, hij voegde toe. [Á noter que le 10 janvier dernier au soir, Microsoft a signalé que, dès le 4 janvier, des attaquants avaient commencé à exploiter la vulnérabilité Log4Shell dans des systèmes ouverts sur Internet et exécutant VMware Horizon et indiqué que son enquête a montré que des intrusions réussies dans ces campagnes d’attaques avaient conduit au déploiement du ransomware NightSky]. Kwetsbaarheden worden echter op kleine manieren uitgebuit door dreigingsactoren. “We zien enige prevalentie van wat we activiteit op laag niveau noemen, zoals het opzetten van cryptocurrency-mining en het installeren van malware die in botnets kan worden gebruikt”, zegt Eric Goldstein, directeur van CISA Deputy Executive for Cybersecurity.

Onmiddellijke bindende operationele richtlijnen

CISA heeft een belangrijke rol gespeeld bij het helpen van federale instanties en de particuliere sector bij het beheren van de grootschalige dreiging die uitgaat van de Log4Shell-kwetsbaarheid, de eerste van vier kritieke kwetsbaarheden die zijn ontdekt in de Log4j-software, die wereldwijd op honderden miljoenen machines wordt ingezet. In het weekend, toen de ontdekking van de kwetsbaarheid voor opschudding zorgde in de informatiebeveiligingsindustrie, voegde CISA de kwetsbaarheid onmiddellijk toe aan haar catalogus van bekende kwetsbaarheden. Daarbij heeft het agentschap een bindende operationele richtlijn uitgevaardigd die in november is uitgevaardigd, waarin alle civiele instanties worden verplicht hun systemen onmiddellijk te patchen zodra een patch beschikbaar is. Agentschappen realiseerden zich echter al snel dat ze “bindende operationele richtlijnen moesten gebruiken om beter prioriteit te geven aan herstel en ervoor te zorgen dat er mitigatie is voor technologische activa waar herstel mislukt.” nog niet beschikbaar”, aldus Goldstein. Om inzendingen te ontvangen met details over producten die de Log4j-kwetsbaarheid kunnen bevatten, heeft de US Cybersecurity and Infrastructure Security Agency een openbare catalogus opgesteld, die tot op heden meer dan 2.800 inzendingen heeft. Met behulp van de gedeelde service, een kwetsbaarheidsonthullingsplatform beheerd door openbaarmakingsbedrijf Bugcrowd, ontdekten beveiligingsonderzoekers 17 voorheen niet-geïdentificeerde producten die kwetsbaar waren voor Log4Shell. “Alles is gepatcht vóór de mogelijke inbraak”, zei Goldstein.

Hoewel het mandaat van CISA beperkt is tot de federale overheid, heeft het agentschap er ook voor gezorgd dat alle bedrijven een “sterk signaal” hebben afgegeven over hoe de Log4j-kwetsbaarheid moet worden aangepakt, waarbij prioriteit werd gegeven aan een paar belangrijke gebieden. Het belangrijkste doel is om ondernemingen in staat te stellen “de prevalentie van bibliotheken en kwetsbare componenten in hun omgeving te begrijpen en prioriteren”, dankzij materiaallijstsoftware (SBOM), een soort bibliotheek “materiaallijst”. SBOM’s zijn “van onschatbare waarde omdat ze bedrijven kunnen helpen automatisch te begrijpen of ze worden blootgesteld aan bepaalde kwetsbaarheden en snel naar oplossingen kunnen gaan.”

Gebrek aan verplichting om bijwerkingen te melden

Het ontbreken van vereisten voor het melden van incidenten is een van de uitdagingen waarmee CISA wordt geconfronteerd bij het helpen van niet-federale bedrijven, aangezien het bureau niet over alle elementen beschikt om incidenten met betrekking tot Log4j te vinden. In december werden standaarden voor het melden van cyberincidenten opgenomen in een gecompromitteerde versie van de National Defense Authorization Act (NDAA), maar deze werden op het laatste moment verwijderd. “We hebben geen noemenswaardige verstoring gezien, maar er is ons niets gemeld”, aldus Easterly. “We zijn bezorgd dat dreigingsactoren deze kwetsbaarheid gaan misbruiken om kritieke infrastructuur aan te vallen. Door het gebrek aan wetgeving kunnen we echter niet op de hoogte worden gebracht”, voegde de CISA-directeur eraan toe.

Nog geen bevestigde ransomware-inbraken

Ondanks geruchten, die eind december werden vrijgegeven, over een ransomware-aanval waarbij misbruik wordt gemaakt van de Log4j-kwetsbaarheid om het Belgische Ministerie van Defensie aan te vallen, “kunnen we niet met zekerheid bevestigen dat ransomware het gevolg is van de exploitatie van de Log4Shell-kwetsbaarheid”, zei dhr. Goldstein. “We weten nu dat veel ransomware-inbraken niet worden gemeld aan de Amerikaanse overheid. En dat komt vaak niet met het soort technische informatie dat zou helpen om te begrijpen welke kwetsbaarheden bedreigingsactoren gebruiken.” Toch zei Easterly dat hij “diep bezorgd was over ransomware-aanvallen op ziekenhuizen”, en dat het bureau bezorgd over de sector. .

Industriële besturingssystemen loskoppelen van internet

Industriële controlesystemen zijn ook een punt van zorg voor CISA, dat tijdens deze crisis sectorspecifieke maatregelen heeft genomen. “We zijn US-CERT (United States Computer Emergency Preparedness Team) gecertificeerd, maar we zijn ook ICS-CERT (Industrial Control System Computer Emergency Preparedness Team) gecertificeerd. We hebben dan ook een enorme expertise op dit gebied. Een belangrijk onderdeel van ons outreach-werk is het helpen van honderden leveranciers van ICS-componenten om erachter te komen of hun producten inderdaad kwetsbaar zijn, en het coördineren van de communicatie met klanten over welke actie ze moeten ondernemen.” Goldstein vindt steeds vaker steun voor het idee dat het technologienetwerk van een bedrijf voor kritieke infrastructuur volledig moet worden losgekoppeld van internet, wat de beste bescherming is tegen compromitterende Log4j-kwetsbaarheden. “In bijna alle gevallen mogen deze activa niet worden blootgesteld aan internet voor toepassingen van besturingssystemen. Het verwijderen van deze bedreigingsfactoren kan het risico aanzienlijk verminderen, “zei hij.

De oorsprong van de fout, is nog onduidelijk

Wat betreft de oorsprong van de fout: op 24 november zou een onderzoeker van de cloudactiviteiten van Alibaba in China contact hebben opgenomen met de Apache Foundation, die verantwoordelijk is voor het beheer van het Java-logging-framework, om hen persoonlijk op de hoogte te stellen van de fout. Voordat Apache een patch kon uitbrengen, meldden onderzoekers aan de Foundation dat Chinese gebruikers de fout hadden besproken, wat suggereert dat hackers mogelijk hebben geprobeerd deze te misbruiken voordat deze werd gepubliceerd. Als gevolg hiervan heeft de Chinese overheid naar verluidt haar contract met cloudprovider Alibaba opgeschort als reactie op wat zij beschouwde als een verzuim om de Log4j2-softwarefout tijdig aan Peking te melden. Goldstein zei dat CISA deze rapporten niet onafhankelijk kon bevestigen, of onafhankelijk de interacties tussen de Chinese staat en onderzoekers kon bevestigen.