Μια επικίνδυνη ευπάθεια ασφαλείας που εντοπίστηκε στη βιβλιοθήκη καταγραφής Log4j Java έχει εκθέσει τεράστια τμήματα του Διαδικτύου σε κακόβουλους παράγοντες.
Ημέρα μηδέν τα exploits είναι περίπου τόσο κακά όσο γίνεται, ειδικά όταν αναγνωρίζονται σε λογισμικό τόσο πανταχού παρόν όσο η βιβλιοθήκη καταγραφής Log4j του Apache. Ένα proof-of-concept exploit κοινοποιήθηκε στο διαδίκτυο που εκθέτει όλους σε πιθανές επιθέσεις απομακρυσμένης εκτέλεσης κώδικα (RCE) και επηρέασε μερικές από τις μεγαλύτερες υπηρεσίες στον Ιστό. Το exploit έχει αναγνωριστεί ως "ενεργό εκμετάλλευση" και είναι ένα από τα πιο επικίνδυνα κατορθώματα που έχουν δημοσιοποιηθεί τα τελευταία χρόνια.
Το Log4j είναι ένα δημοφιλές πακέτο καταγραφής που βασίζεται σε Java που αναπτύχθηκε από το Ίδρυμα Λογισμικού Apache και CVE-2021-44228 επηρεάζει όλες τις εκδόσεις του Log4j μεταξύ της έκδοσης 2.0-beta-9 και της έκδοσης 2.14.1. Έχει διορθωθεί στην πιο πρόσφατη έκδοση της βιβλιοθήκης, έκδοση 2.15.0, κυκλοφόρησε πριν λίγες μέρες. Πολλές υπηρεσίες και εφαρμογές βασίζονται στο Log4j, συμπεριλαμβανομένων παιχνιδιών όπως το Minecraft, όπου ανακαλύφθηκε για πρώτη φορά η ευπάθεια. Οι υπηρεσίες Cloud όπως το Steam και το Apple iCloud βρέθηκαν επίσης ευάλωτες και είναι πιθανό ότι οποιοσδήποτε χρησιμοποιεί Apache Struts είναι επίσης ευάλωτος. Ακόμη και η αλλαγή του ονόματος ενός iPhone φάνηκε να προκαλεί την ευπάθεια στους διακομιστές της Apple.
Αυτή η ευπάθεια ήταν ανακαλύφθηκε από τον Chen Zhaojun της ομάδας Alibaba Cloud Security Team. Οποιαδήποτε υπηρεσία καταγράφει συμβολοσειρές ελεγχόμενες από τον χρήστη ήταν ευάλωτη στην εκμετάλλευση. Η καταγραφή συμβολοσειρών ελεγχόμενων από τον χρήστη είναι μια κοινή πρακτική από τους διαχειριστές του συστήματος προκειμένου να εντοπιστεί πιθανή κατάχρηση πλατφόρμας, αν και Οι συμβολοσειρές θα πρέπει στη συνέχεια να "απολαυνθούν" -- η διαδικασία καθαρισμού των εισροών του χρήστη για να διασφαλιστεί ότι δεν υπάρχει τίποτα επιβλαβές για το λογισμικό υποβλήθηκε.
Το Log4Shell ανταγωνίζεται το Heartbleed στη σοβαρότητά του
Το exploit έχει ονομαστεί "Log4Shell", καθώς είναι μια ευπάθεια RCE χωρίς έλεγχο ταυτότητας που επιτρέπει την πλήρη ανάληψη του συστήματος. Υπάρχει ήδη ένα proof-of-concept exploit online, και είναι γελοίο εύκολο να αποδειχθεί ότι λειτουργεί μέσω της χρήσης λογισμικού καταγραφής DNS. Αν θυμάστε το Αιμορραγία της καρδιάς ευπάθεια από αρκετά χρόνια πριν, το Log4Shell σίγουρα του δίνει μια καλή λύση όσον αφορά τη σοβαρότητα.
«Ομοίως με άλλες ευπάθειες υψηλού προφίλ όπως το Heartbleed και το Shellshock, πιστεύουμε ότι υπάρχει θα είναι ένας αυξανόμενος αριθμός ευάλωτων προϊόντων που θα ανακαλυφθούν τις επόμενες εβδομάδες», το Randori Attack Ομάδα είπαν στο blog τους σήμερα. «Λόγω της ευκολίας εκμετάλλευσης και του εύρους εφαρμογής, υποπτευόμαστε ότι οι φορείς ransomware θα αρχίσουν να αξιοποιούν αυτήν την ευπάθεια αμέσως», πρόσθεσαν. Κακόβουλοι φορείς ήδη σαρώνουν μαζικά τον ιστό για να προσπαθήσουν να βρουν διακομιστές προς εκμετάλλευση (μέσω Υπολογιστής Bleeping).
«Πολλές, πολλές υπηρεσίες είναι ευάλωτες σε αυτήν την εκμετάλλευση. Οι υπηρεσίες Cloud όπως το Steam, το Apple iCloud και εφαρμογές όπως το Minecraft έχουν ήδη βρεθεί ευάλωτες", δήλωσε η LunaSec έγραψε. «Όποιος χρησιμοποιεί Apache Struts είναι πιθανότατα ευάλωτος. Έχουμε δει παρόμοια τρωτά σημεία εκμετάλλευσης στο παρελθόν σε παραβιάσεις όπως η παραβίαση δεδομένων Equifax του 2017." Η LunaSec είπε επίσης ότι οι εκδόσεις Java μεγαλύτερο από 6u211, 7u201, 8u191 και 11.0.1 επηρεάζονται λιγότερο θεωρητικά, αν και οι χάκερ μπορεί να εξακολουθούν να μπορούν να εργαστούν γύρω από το περιορισμούς.
Η ευπάθεια μπορεί να προκληθεί από κάτι τόσο απλό όσο το όνομα ενός iPhone, αποδεικνύοντας ότι το Log4j είναι πραγματικά παντού. Εάν μια κλάση Java προσαρτηθεί στο τέλος της διεύθυνσης URL, τότε αυτή η κλάση θα εισαχθεί στη διαδικασία διακομιστή. Οι διαχειριστές συστήματος με πρόσφατες εκδόσεις του Log4j μπορούν να εκτελέσουν το JVM τους με το ακόλουθο όρισμα για να αποτρέψουν επίσης την εκμετάλλευση της ευπάθειας, εφόσον είναι τουλάχιστον σε Log4j 2.10.
-Dlog4j2.formatMsgNoLookups=true
Η CERT NZ (εθνική Ομάδα Αντιμετώπισης Έκτακτης Ανάγκης Υπολογιστών της Νέας Ζηλανδίας) εξέδωσε συμβουλευτική προειδοποίηση για την ασφάλεια ενεργητική εκμετάλλευση στη φύση, και αυτό έχει επίσης επιβεβαιωθεί από Coalition Director Of Engineering - Security Tiago Henriques και ο ειδικός σε θέματα ασφάλειας Kevin Beaumont. Η ευπάθεια έχει επίσης θεωρηθεί τόσο επικίνδυνη από το Cloudflare που σε όλους τους πελάτες παρέχεται "κάποια" προστασία από προεπιλογή.
Αυτό είναι ένα απίστευτα επικίνδυνο κατόρθωμα και μπορεί να προκαλέσει όλεθρο στο διαδίκτυο. Θα παρακολουθούμε στενά τι θα συμβεί στη συνέχεια.