Опасна уязвимост в сигурността, идентифицирана в библиотеката за регистриране на Java Log4j, изложи огромни части от интернет на злонамерени участници.
Нулев ден експлойтите са почти толкова лоши, колкото стават, особено когато са идентифицирани в софтуера, който е повсеместен като библиотеката за регистриране Log4j на Apache. Експлойт за доказателство на концепцията беше споделен онлайн, който излага всеки на потенциални атаки с дистанционно изпълнение на код (RCE) и засегна някои от най-големите услуги в мрежата. Експлойтът е идентифициран като „активно използван“ и е един от най-опасните експлойти, оповестени публично през последните години.
Log4j е популярен базиран на Java пакет за регистриране, разработен от Apache Software Foundation и CVE-2021-44228 засяга всички версии на Log4j между версия 2.0-beta-9 и версия 2.14.1. Беше закърпен в най-новата версия на библиотеката, версия 2.15.0, пуснат преди няколко дни. Много услуги и приложения разчитат на Log4j, включително игри като Minecraft, където уязвимостта е открита за първи път. Облачните услуги като Steam и Apple iCloud също се оказаха уязвими и е вероятно всеки, който използва Apache Struts, също да е уязвим. Беше показано, че дори промяната на името на iPhone задейства уязвимостта в сървърите на Apple.
Тази уязвимост беше открити от Chen Zhaojun от екипа за облачна сигурност на Alibaba. Всяка услуга, която регистрира низове, контролирани от потребителя, беше уязвима за експлойта. Записването на низове, контролирани от потребителя, е обичайна практика от системните администратори, за да забележат потенциална злоупотреба с платформата, въпреки че тези след това низовете трябва да бъдат "дезинфекцирани" - процесът на почистване на въведеното от потребителя, за да се гарантира, че няма нищо вредно за софтуера подадено.
Log4Shell съперничи на Heartbleed по своята тежест
Експлойтът е наречен "Log4Shell", тъй като е неавтентифицирана RCE уязвимост, която позволява пълно превземане на системата. Вече има proof-of-concept exploit онлайн, и е абсурдно лесно да се демонстрира, че работи чрез използването на софтуер за регистриране на DNS. Ако си спомняте за Heartbleed уязвимост отпреди няколко години, Log4Shell определено му дава шанс за парите си, когато става въпрос за сериозност.
„Подобно на други известни уязвимости като Heartbleed и Shellshock, ние вярваме, че има ще бъде все по-голям брой уязвими продукти, открити през идните седмици“, атаката на Рандори Екип казаха в техния блог днес. „Поради лекотата на експлоатация и широчината на приложимост, подозираме, че участниците в ransomware ще започнат незабавно да използват тази уязвимост“, добавиха те. Злонамерените участници вече масово сканират мрежата, за да се опитат да намерят сървъри, които да експлоатират (чрез Блеещ компютър).
„Много, много услуги са уязвими към този експлойт. Облачни услуги като Steam, Apple iCloud и приложения като Minecraft вече са открити като уязвими“, LunaSec написа. „Всеки, който използва Apache Struts, вероятно е уязвим. Виждали сме подобни уязвимости, експлоатирани и преди при пробиви като нарушението на данните на Equifax през 2017 г." LunaSec каза също, че версиите на Java по-големи от 6u211, 7u201, 8u191 и 11.0.1 са по-малко засегнати на теория, въпреки че хакерите все още могат да заобиколят ограничения.
Уязвимостта може да бъде предизвикана от нещо толкова светско като името на iPhone, демонстрирайки, че Log4j наистина е навсякъде. Ако Java клас е добавен към края на URL адреса, тогава този клас ще бъде инжектиран в сървърния процес. Системните администратори с най-новите версии на Log4j могат да изпълнят своята JVM със следния аргумент, за да предотвратят експлоатирането на уязвимостта, стига те са поне на Log4j 2.10.
-Dlog4j2.formatMsgNoLookups=true
CERT NZ (Национален екип за реагиране при компютърни спешни случаи на Нова Зеландия) издаде предупреждение за сигурност за активна експлоатация в дивата природа, и това също е потвърдено от Коалиционен директор по инженерство - сигурност Тиаго Енрикес и експерт по сигурността Кевин Бомонт. Уязвимостта също така се счита за толкова опасна от Cloudflare, че на всички клиенти се предоставя „известна“ защита по подразбиране.
Това е невероятно опасен експлойт, който може да предизвика хаос онлайн. Ще следим отблизо какво ще се случи по-нататък.