Nebezpečná bezpečnostní chyba identifikovaná v logovací knihovně Log4j Java odhalila obrovské množství internetu zlomyslným aktérům.
Nultý den exploity jsou asi tak špatné, jak jen to jde, zvláště když jsou v softwaru identifikovány tak všudypřítomné jako protokolovací knihovna Log4j od Apache. Online byl sdílen proof-of-concept exploit, který každého vystavuje potenciálním útokům vzdáleného spuštění kódu (RCE), a ovlivnil některé z největších služeb na webu. Tento exploit byl identifikován jako „aktivně využívaný“ a je jedním z nejnebezpečnějších exploitů, které byly v posledních letech zveřejněny.
Log4j je populární protokolovací balíček založený na Javě vyvinutý nadací Apache Software Foundation a CVE-2021-44228 ovlivňuje všechny verze Log4j mezi verzí 2.0-beta-9 a verzí 2.14.1. Byl opraven v nejnovější verzi knihovny, verze 2.15.0, vydané před několika dny. Mnoho služeb a aplikací spoléhá na Log4j, včetně her jako Minecraft, kde byla zranitelnost poprvé objevena. Cloudové služby jako Steam a Apple iCloud byly také shledány zranitelnými a je pravděpodobné, že kdokoli, kdo používá Apache Struts, je také. Ukázalo se, že i změna názvu iPhonu spustila zranitelnost na serverech společnosti Apple.
Tato zranitelnost byla objevil od Chen Zhaojun z týmu Alibaba Cloud Security Team. Každá služba, která protokoluje uživatelem řízené řetězce, byla zranitelná vůči exploitu. Protokolování uživatelsky řízených řetězců je běžnou praxí systémových administrátorů, aby odhalili potenciální zneužití platformy, i když řetězce by pak měly být „vyčištěny“ – proces čištění uživatelského vstupu, aby bylo zajištěno, že softwaru není nic škodlivého předloženo.
Log4Shell konkuruje Heartbleed ve své závažnosti
Tento exploit byl nazván „Log4Shell“, protože jde o neověřenou zranitelnost RCE, která umožňuje úplné převzetí systému. Již existuje a proof-of-concept exploit onlinea je směšně snadné prokázat, že to funguje pomocí softwaru pro protokolování DNS. Pokud si vzpomenete na Srdeční krvácení zranitelnosti z doby před několika lety, Log4Shell mu rozhodně dává zabrat, pokud jde o závažnost.
„Podobně jako u jiných vysoce profilovaných zranitelností, jako je Heartbleed a Shellshock, věříme, bude v nadcházejících týdnech objevovat stále větší počet zranitelných produktů,“ uvedl Randori Attack tým uvedli na svém blogu dnes. „Vzhledem k snadnému zneužití a šíři použitelnosti podezříváme aktéry ransomwaru, aby tuto zranitelnost začali okamžitě využívat,“ dodali. Zlomyslní herci již hromadně prohledávají web, aby se pokusili najít servery, které by mohli zneužít (přes Pípavý počítač).
"Mnoho, mnoho služeb je náchylných k tomuto zneužití. Cloudové služby jako Steam, Apple iCloud a aplikace jako Minecraft již byly shledány zranitelnými,“ LunaSec napsal. „Každý, kdo používá Apache Struts, je pravděpodobně zranitelný. Viděli jsme podobné zranitelnosti zneužité již dříve při porušeních, jako je únik dat Equifax v roce 2017." LunaSec také uvedl, že verze Java větší než 6u211, 7u201, 8u191 a 11.0.1 jsou teoreticky méně ovlivněny, i když hackeři mohou stále být schopni obejít omezení.
Zranitelnost může být vyvolána něčím tak světským, jako je jméno iPhone, což dokazuje, že Log4j je skutečně všude. Pokud je na konec adresy URL připojena třída Java, bude tato třída vložena do procesu serveru. Správci systému s nejnovějšími verzemi Log4j mohou spustit své JVM s následujícím argumentem, aby také zabránili zneužití zranitelnosti, pokud jsou na minimálně Log4j 2.10.
-Dlog4j2.formatMsgNoLookups=trueCERT NZ (Novozélandský národní tým Computer Emergency Response Team) vydal bezpečnostní upozornění aktivního využívání ve volné přírodě, a to také potvrdil Koaliční ředitel inženýrství - Bezpečnost Tiago Henriques a bezpečnostní expert Kevin Beaumont. Cloudflare tuto zranitelnost také považuje za tak nebezpečnou, že všem zákazníkům je standardně poskytnuta „nějaká“ ochrana.
Toto je neuvěřitelně nebezpečný exploit, který může způsobit zmatek online. Budeme bedlivě sledovat, co bude dál.