Soms, als een softwarecrisis niet het soort verwoesting veroorzaakt die iedereen verwacht, is dat omdat er in de eerste plaats misschien geen sprake was van een crisis. Dat is niet het geval met de Log4Shell-kwetsbaarheid die in het begin van december 2021 werd gevonden in de veelgebruikte Apache Log4J-software. Hoewel de wereld de gevreesde grootschalige uitbuiting van de kwetsbaarheid nog niet heeft gezien, zal de Log4Shell-bug – diep begraven in veel digitale applicaties en producten – waarschijnlijk nog jaren een doelwit voor uitbuiting zijn.
Sophos is sinds begin december de dreiging blijven volgen en monitoren. Het is de moeite waard om de balans op te maken van hoe de zaken zich sinds 9 december 2021 hebben ontwikkeld, van wat we nu weten en van wat we verwachten voor de toekomst.
Scannen van de scanners
Metingen van Sophos op scans voor blootgestelde instances van Log4J, onthult een typisch patroon voor een nieuw gerapporteerde kwetsbaarheid. In de eerste paar dagen was er sprake van een gematigd aantal scans, als gevolg van de vroege ontwikkeling van Proof-of-Concept exploits en het voorbereidend online scannen van systemen die gevoelig zijn voor uitbuiting.
Binnen een week was er een aanzienlijke toename van het aantal gedetecteerde scans, met pieken tussen 20 en 23 december 2021. Deze aantallen omvatten nog niet geïdentificeerde exploits, opportunistische cryptominers, door staten gesteunde dreigingen en andere cybercriminelen. Het is ook noemenswaardig dat, tijdens deze dagen aan het eind van december, veel beveiligingsbedrijven nog steeds open waren voor de feestdagen en actief bezig waren met het monitoren van het digitale landschap.
Met andere woorden: de cijfers bevestigen dat veel mensen, met goede of kwade bedoelingen, probeerden te peilen hoe kwetsbaar anderen voor deze dreiging waren, door te kijken naar het aantal mogelijk blootgestelde systemen.
Van eind december tot januari 2022 is de curve van aanvalspogingen echter afgevlakt en afgenomen. Dit betekent niet dat het dreigingsniveau ook afnam: tegen die tijd bestond een steeds groter percentage waarnemingen, waarschijnlijk uit echte aanvallen, en waren deze minder vaak afkomstig van onderzoekers die de laatste patching-status wilden weten.
Grootschalige uitbuiting blijft beperkt
Het totale aantal geslaagde aanvallen blijft tot dusver lager dan verwacht. Het bewijs hiervoor is te vinden aan de frontlinie. Het Sophos Managed Threat Response Team (MTR) merkt op dat, hoewel het team veel scans en pogingen om de Log4Shell-exploit te activeren heeft gedetecteerd, in het begin van januari 2022 slechts een handvol MTR-klanten te maken had met pogingen tot inbraak waarbij Log4J de eerste ingang bleek te zijn. Hiervan bestond de meerderheid uit cryptominers.
Een andere mogelijke reden voor de beperking van een grootschalige uitbuiting zou de noodzaak zijn om de aanval aan te passen aan elke applicatie die de kwetsbare Apache Log4J-code bevat.
De locaties van aanvalspogingen: toen en nu
Onderzoeksgegevens van Sophos laten, vanaf het moment dat de bug werd gemeld op 9 december tot en met eerste twee weken van januari 2022, een aantal interessante variaties zien in de oorsprong van aanvalspogingen en scans.
Als we naar december kijken, is het noemenswaardig dat de meest getroffen landen, waaronder de VS, Rusland en China, evenals landen in West-Europa en Latijns-Amerika, over het algemeen grote bevolkingen hebben waarvan een aanzienlijk deel uit geschoolde cybersecurity specialisten bestaat. Veel van deze landen beschikken ook over een goede digitale infrastructuur en zijn populair als internet hosting hubs. De grote vertegenwoordiging van de VS en Duitsland in de IP-brongegevens is waarschijnlijk een weerspiegeling van de grote datacentra die die daar gevestigd zijn en worden onder meer door Amazon, Microsoft en Google gebruikt.
Aan het begin van 2022 verandert dit beeld drastisch. Het opvallendste verschil is dat de vroege dominantie van Rusland en China in januari lijkt te zijn afgenomen. Inlichtingen van Sophos suggereren dat dit een schijnbare daling is van het aantal aanvalspogingen door een kleine hoeveelheid zeer agressieve cryptominers die in deze regio’s zijn gevestigd.
Het is belangrijk om op te merken dat er mogelijk geen relatie is tussen de bron-IP’s die scannen of misbruik maken van de kwetsbaarheid, en de werkelijke locatie van degenen die het dataverkeer genereren. De bestemming van de call backs geeft een beter beeld.
De locaties van call backs
Sophos heeft de call backs met betrekking tot Log4Shell, net zoals de IP-brongegevens, voor eind 2021 en begin 2022 vastgelegd: het algemene beeld is heel anders dan dat van de IP-bronlocatie.
De gegevens tonen de top call back-bestemmingen wereldwijd waar kwetsbare (ongepatchte) apparaten gebruik van maken om een Java payload op te halen of om informatie achter te laten die van het apparaat is gehaald, zoals AWS-beveiligingssleutels of andere variabelen.
Hoewel de VS een grote speler blijft, staat India op de eerste positie en worden Turkije, Brazilië en zelfs Australië gehighlight. Het is moeilijk om te achterhalen waarom deze regio’s topbestemmingen zijn voor call backs. Dat deze landen veel actieve deelnemers aan bug bounty-programma zijn, in de hoop geld te verdienen door als eerste organisaties te waarschuwen dat ze zijn blootgesteld, zou een reden kunnen zijn.
De dreiging blijft aanwezig
Het feit dat we de ijsberg hebben omzeild, wil niet zeggen dat we van het risico af zijn. Na verloop van tijd zullen toepassingen die kwetsbaar zijn voor een Log4Shell-exploit waarschijnlijk worden geïdentificeerd, gepatcht of verwijderd. Onbekende kwetsbare, interne systemen zullen wellicht nooit bekend of ontdekt worden, en de kans is groot dat deze een beveiligingsrisico blijven vormen. Sophos-telemetrie toont aan dat het aantal kwetsbare Java Archive-bestanden (JAR) op door Sophos beschermde endpoints niet is gewijzigd. Deze zouden in de toekomst een favoriet hulpmiddel kunnen worden voor cybercriminelen.
Conclusie
Sophos is van mening dat pogingen tot uitbuiting van het Log4Shell-lek waarschijnlijk nog jaren een doelwit zal zijn voor pentesters en door staten gesteunde threat actors. De urgentie om te achterhalen waar dit lek wordt gebruikt in applicaties, in combinatie met het updaten en patchen van software, blijft van cruciaal belang.
Chester Wisniewski is principal research scientist bij Sophos
