Amerikaanse cyberbeveiligingsambtenaren zien tot nu toe vooral aanvallen met geringe impact door fout in logboek

Het Amerikaanse agentschap dat belast is met de verdediging van het land tegen hacking zei op dinsdag dat de meerderheid van de aanvallen die het heeft gezien met behulp van een onlangs bekendgemaakte fout in veelgebruikte open-source software klein waren, waarbij veel van hen trachtten rekenkracht te kapen om cryptocurrency te delven.

Ambtenaren van het Cybersecurity and Infrastructure Security Agency zeiden dat ze geen rapporten van meerdere beveiligingsbedrijven hadden bevestigd over ransomware-installaties of pogingen van andere overheden om geheimen te stelen.

"We zien geen wijdverspreide, zeer geavanceerde inbraakcampagnes," zei Eric Goldstein, uitvoerend assistent-directeur voor cyberbeveiliging bij CISA, in een telefoongesprek met verslaggevers.

Maar hij waarschuwde dat de dreiging zich zou blijven ontwikkelen en dat het agentschap nog steeds bezig was met het verzamelen van betrouwbare informatie over welke soorten software het doelwit van de aanvallen waren.

Hij zei dat het mogelijk was dat wijdverspreide consumentenapparaten zoals routers kwetsbaar waren en dat zijn eenheid binnen het ministerie van Binnenlandse Veiligheid samenwerkte met verkopers om hen waar nodig fixes te laten uitrollen.

De fout werd gevonden in een veelgebruikte loggingtool, bekend als Log4j, en deze wordt door minstens honderden andere programma's die op de tool vertrouwen, doorgegeven. Goldstein zei dat het lek gemakkelijk te misbruiken is.

Hoewel er sinds 6 december een patch voor de tool beschikbaar is, moeten veel van die andere programma's de patch ook implementeren om ervoor te zorgen dat een aanvaller geen diepe netwerktoegang kan krijgen.

In het kader van onlangs verleende bevoegdheden heeft CISA alle federale agentschappen opgedragen patches te installeren zodra deze beschikbaar zijn.

Goldstein zei dat er geen meldingen zijn van inbraken met behulp van de kwetsbaarheid bij de overheid, maar CISA verwacht dat "allerlei tegenstanders" zullen proberen van de zwakke plek gebruik te maken.

De logboekfunctie stelt gebruikers in staat om live code in te dienen die naar een externe opslagplaats verwijst, die het programma vervolgens opzoekt en installeert. Hackers kunnen dat gebruiken om de controle over de servers over te nemen, die toegang kunnen hebben tot andere machines met meer waardevolle gegevens of netwerkbevoegdheden.

Hoewel de fout al jaren in het gratis Log4j-programma bestaat, werd hij onlangs ontdekt door een onderzoeker van het Chinese techbedrijf Alibaba en gemeld aan de groep vrijwilligers die het programma onderhoudt. Openlijke discussie binnen het Chinese beveiligingsbedrijf werd ontdekt en enige exploitatie van de fout begon voordat de Apache Software Foundation de patch kon uitgeven.

Goldstein zei dat het "zorgwekkend" is wanneer een fout wordt uitgebuit voordat er een patch is uitgebracht. Volgens recente Chinese regelgeving moeten sommige beveiligingsprofessionals hun bevindingen snel aan de overheid melden, vaak voordat er patches klaar zijn.