En farlig sikkerhedssårbarhed identificeret i Log4j Java-logningsbiblioteket har afsløret enorme dele af internettet for ondsindede aktører.
Nul-dag udnyttelser er omtrent så slemt, som det bliver, især når de er identificeret i software så allestedsnærværende som Apaches Log4j-logbibliotek. En proof-of-concept udnyttelse blev delt online, der udsætter alle for potentielle RCE-angreb (Remote Code execution), og det påvirkede nogle af de største tjenester på nettet. Udnyttelsen er blevet identificeret som "aktivt udnyttet", og er en af de farligste udnyttelser, der er blevet offentliggjort i de senere år.
Log4j er en populær Java-baseret logningspakke udviklet af Apache Software Foundation, og CVE-2021-44228 påvirker alle versioner af Log4j mellem version 2.0-beta-9 og version 2.14.1. Det er blevet rettet i den seneste version af biblioteket, version 2.15.0, udgivet for et par dage siden. Mange tjenester og applikationer er afhængige af Log4j, inklusive spil som Minecraft, hvor sårbarheden først blev opdaget. Cloud-tjenester såsom Steam og Apple iCloud blev også fundet at være sårbare, og det er sandsynligt, at alle, der bruger Apache Struts, også er det. Selv ændring af en iPhones navn viste sig at udløse sårbarheden på Apples servere.
Denne sårbarhed var opdaget af Chen Zhaojun fra Alibaba Cloud Security Team. Enhver tjeneste, der logger brugerkontrollerede strenge, var sårbare over for udnyttelsen. Logning af brugerkontrollerede strenge er en almindelig praksis af systemadministratorer for at spotte potentielt platformmisbrug, selvom de strenge skal derefter "saneres" -- processen med at rense brugerinput for at sikre, at der ikke er noget skadeligt for softwaren indsendt.
Log4Shell konkurrerer med Heartbleed i sin sværhedsgrad
Udnyttelsen er blevet døbt "Log4Shell", da det er en uautoriseret RCE-sårbarhed, der giver mulighed for total systemovertagelse. Der er allerede en proof-of-concept udnyttelse online, og det er latterligt nemt at demonstrere, at det virker ved brug af DNS-logningssoftware. Hvis du husker Hjerteblod sårbarhed fra en række år siden, Log4Shell giver det helt sikkert et løb for pengene, når det kommer til sværhedsgrad.
"På samme måde som andre højprofilerede sårbarheder såsom Heartbleed og Shellshock, tror vi, at der vil være et stigende antal sårbare produkter opdaget i de kommende uger," Randori Attack Hold sagde i deres blog i dag. "På grund af den lette udnyttelse og bredden af anvendelighed har vi mistanke om, at ransomware-aktører begynder at udnytte denne sårbarhed med det samme," tilføjede de. Ondsindede aktører massescanner allerede nettet for at forsøge at finde servere at udnytte (via Blødende computer).
"Mange, mange tjenester er sårbare over for denne udnyttelse. Cloud-tjenester som Steam, Apple iCloud og apps som Minecraft har allerede vist sig at være sårbare," LunaSec skrev. "Enhver, der bruger Apache Struts, er sandsynligvis sårbare. Vi har set lignende sårbarheder udnyttet før i brud som 2017 Equifax databrud." LunaSec sagde også, at Java-versioner større end 6u211, 7u201, 8u191 og 11.0.1 er mindre påvirket i teorien, selvom hackere muligvis stadig er i stand til at omgå begrænsninger.
Sårbarheden kan udløses af noget så banalt som en iPhones navn, hvilket viser, at Log4j virkelig er overalt. Hvis en Java-klasse tilføjes til slutningen af URL'en, vil den klasse blive injiceret i serverprocessen. Systemadministratorer med nyere versioner af Log4j kan udføre deres JVM med følgende argument for også at forhindre sårbarheden i at blive udnyttet, så længe de er på mindst Log4j 2.10.
-Dlog4j2.formatMsgNoLookups=trueCERT NZ (New Zealands nationale Computer Emergency Response Team) har udsendt en sikkerhedsadvarsel om aktiv udnyttelse i naturen, og det er også blevet bekræftet af Koalitionens direktør for Engineering - Sikkerhed Tiago Henriques og sikkerhedsekspert Kevin Beaumont. Sårbarheden er også blevet anset for at være så farlig af Cloudflare, at alle kunder som standard får "en vis" beskyttelse.
Dette er en utrolig farlig udnyttelse og en, der kan skabe kaos online. Vi vil holde et vågent øje med, hvad der så sker.