Af Lars Bennetzen, Alt om Data
Denne artikel er oprindeligt bragt på Alt om Data. Computerworld overtog i november 2022 Alt om Data. Du kan læse mere om overtagelsen her.
Langt hovedparten af alle webservere i hele verden er baseret på Apache, og en stor del af dem bruger biblioteket Log4j, hvor zero-day sårbarheden Log4Shell blev fundet for lige over en uge siden. Virksomheder over hele kloden er nu ramt af et af de værste hackerangreb i årevis, og stor værdier kan være på spil. Men hvordan udnytter hackerne sårbarheden? Det er stadig uklart, og det værst tænkelige scenarium er ikke rart at tænke på.
Log4j er en javabaseret logningsfunktion, der på grund af sikkerhedshullet gør det muligt for en person udefra at eksekvere kode på selve webserveren.
”Den kode kan i princippet gøre hvad som helst. Den kan installere ransomware. Det kan være kode, der scanner det interne netværk for filer og sender dem ud ad huset. Eller det kan være en stump kode der kører cryptomining,” fortæller Leif Jensen, CBO hos Eset Nordic til AOD PRO og fortsætter:
”Men noget af det værste, jeg kan forestille mig er, at den installerer en bagdør, som altid står åben for de cyberkriminelle.”
Dermed åbner sårbarheden Log4Shell op for uvisheden. For der er ingen, som kan forudsige, hvad de cyberkriminelle vil bruge den til – eller hvornår.
”Når først koden er på serveren, er den også på den ”rigtige” side af huses firewall. Alt, der ligger på serveren, kan i princippet holde en port åben, så der altid er adgang for de cyberkriminelle, og den kan de så vælge at bruge når de har lyst,” forklarer Leif Jensen.
Næsten umulig at opdage
En ting er Leif Jensen dog helt sikker på – det mest sandsynlige er, at de lader opmærksomheden drive over og først derefter udnytte mulighederne.
”Lige efter sårbarheden blev kendt, så vi en enorm aktivitet på internettet. Porte blev scannet meget intens, og jeg er sikker på, at de it-kriminelle havde travlt med at finde sårbare servere og lave et indeks over, hvilke der var sårbare,” fortæller Leif Jensen.
Han mener heller ikke, at der er nogen grund for de cyberkriminelle til at handle nu, for det er meget vanskeligt at finde ud af, om sårbarheden er blevet udnyttet, og at ondsindet kode ligger på serveren.
”Antivirussoftware og en firewall vil ikke kunne finde noget galt, for biblioteket har jo givet lov. Så hvis virksomheden ikke har et værktøj, der overvåger netværksaktivitet og serveraktivitet, så vil du ikke opdage, at der ligger noget i baggrunden og simrer,” pointerer Leif Jensen.
Det er da heller ikke nok, at virksomhederne har opdateret serverne. Det stopper nemlig kun de cyberkriminelle i at udnytte softwaren fremadrettet.
”Hvis de allerede er inde, så ligger de der og kan gøre sort set hvad de vil,” siger Leif Jensen.
Tips til at opdage inficering
Så når sikkerhedssoftwaren ikke beskytter, så må virksomhederne gribe til andre midler for at finde ud af om de er ramt.
Leif Jensen råder virksomhederne til først at få et overblik over, hvad der kører på deres servere. Hvis der kører programmer, tjenester eller processer, som de ikke ved, hvad gør, så skal de med et samme undersøge denne aktivitet og eventuelt få lukket for den.
”Derudover skal virksomhederne få et overblik over, om trafikken fra serveren har ændret sig. Hvis den udgående trafik er steget, så kan det være et tegn på, at data siver ud af huset,” siger Leif Jensen.
Men at datatrafikken ikke stiger, er dog ingen garanti, for ifølge Leif Jensen er det nemt at kamuflere datatrafikken, så den ikke vækker mistanke.
”Det handler blot om at sende data ud i små mængder, at få det til at ligne normale dataudsving. Det kan være næsten umuligt at opdage,” pointerer Leif Jensen.
