Log4j Java logiraamatukogus tuvastatud ohtlik turvahaavatavus on paljastanud pahatahtlikele osalejatele tohutu hulga Interneti.
Null-päev ärakasutamine on peaaegu sama halb, kui see saab, eriti kui need on tuvastatud tarkvaras, mis on nii üldlevinud kui Apache Log4j logiteek. Internetis jagati kontseptsiooni tõestust, mis seab kõik potentsiaalsete koodide kaugkäivitamise (RCE) rünnakute alla, ja see mõjutas mõnda suurimat veebiteenust. Ärakasutamist on tuvastatud kui "aktiivset ärakasutamist" ja see on viimastel aastatel üks ohtlikumaid ärakasutusi.
Log4j on populaarne Java-põhine logipakett, mille on välja töötanud Apache Software Foundation ja CVE-2021-44228 mõjutab kõiki Log4j versioone versioonide 2.0-beeta-9 ja 2.14.1 vahel. See on paigatud teegi uusimas versioonis, versioon 2.15.0, ilmus paar päeva tagasi. Paljud teenused ja rakendused tuginevad Log4j-le, sealhulgas mängud nagu Minecraft, kus haavatavus esmakordselt avastati. Pilveteenused, nagu Steam ja Apple iCloud, leiti olevat samuti haavatavad ning tõenäoliselt on seda ka kõik, kes kasutavad Apache Strutsi. Näidati, et isegi iPhone'i nime muutmine käivitas Apple'i serverites haavatavuse.
See haavatavus oli avastatud autor Chen Zhaojun Alibaba Cloud Security Teamist. Kõik teenused, mis logivad kasutaja juhitud stringe, olid ärakasutamise suhtes haavatavad. Kasutaja juhitud stringide logimine on süsteemiadministraatorite tavaline praktika, et tuvastada võimalikku platvormi kuritarvitamist, kuigi stringid tuleks seejärel "puhastada" – kasutaja sisendi puhastamise protsess, mis tagab, et tarkvarale pole midagi kahjulikku. esitatud.
Log4Shell konkureerib Heartbleediga oma tõsiduse poolest
Ärakasutamist on nimetatud "Log4Shelliks", kuna see on autentimata RCE haavatavus, mis võimaldab süsteemi täielikku ülevõtmist. Seal on juba a kontseptsiooni tõestamise ärakasutamine võrgus, ja selle toimimist on naeruväärselt lihtne näidata DNS-i logimise tarkvara abil. Kui mäletate Südameverejooks Paljude aastate taguse haavatavuse tõttu annab Log4Shell selle tõsiduse osas kindlasti raha eest ära.
"Sarnaselt teiste kõrgetasemeliste haavatavustega, nagu Heartbleed ja Shellshock, usume, et Järgmistel nädalatel avastatakse üha rohkem haavatavaid tooteid," ütles Randori Attack Meeskond ütlesid oma blogis täna. "Kasutamise lihtsuse ja kohaldatavuse laiuse tõttu kahtlustame, et lunavarategijad hakkavad seda haavatavust kohe ära kasutama," lisasid nad. Pahatahtlikud osalejad skannivad juba massiliselt veebi, et leida servereid, mida ära kasutada (kaudu Piiksuv arvuti).
"Paljud, paljud teenused on selle ärakasutamise suhtes haavatavad. Pilveteenused, nagu Steam, Apple iCloud ja sellised rakendused nagu Minecraft, on juba leitud olevat haavatavad," ütles LunaSec. kirjutas. "Igaüks, kes kasutab Apache Strutsi, on tõenäoliselt haavatav. Oleme näinud sarnaseid turvaauke varemgi selliste rikkumiste puhul nagu 2017. aasta Equifaxi andmemurd." LunaSec ütles ka, et Java versioonid versioonid, mis on suuremad kui 6u211, 7u201, 8u191 ja 11.0.1, on teoreetiliselt vähem mõjutatud, kuigi häkkeritel võib siiski õnnestuda piirangud.
Haavatavuse võib käivitada midagi nii igapäevast nagu iPhone'i nimi, mis näitab, et Log4j on tõesti kõikjal. Kui URL-i lõppu lisatakse Java klass, sisestatakse see klass serveriprotsessi. Log4j uusimate versioonidega süsteemiadministraatorid saavad oma JVM-i käivitada järgmise argumendiga, et vältida haavatavuse ärakasutamist seni, kuni neil on vähemalt Log4j 2.10.
-Dlog4j2.formatMsgNoLookups=trueCERT NZ (Uus-Meremaa riiklik arvutihädade reageerimise meeskond) on väljastanud turvahoiatuse aktiivne ekspluateerimine looduses, ja seda on ka kinnitanud Koalitsiooni inseneridirektor – turvalisus Tiago Henriques ja turvaekspert Kevin Beaumont. Haavatavust on Cloudflare pidanud ka nii ohtlikuks, et kõigile klientidele antakse vaikimisi "mingisugune" kaitse.
See on uskumatult ohtlik ärakasutamine ja võib võrgus kaost tekitada. Hoiame edaspidi toimuval hoolega silma peal.