Log4j Java -lokikirjastosta tunnistettu vaarallinen tietoturvahaavoittuvuus on paljastanut valtavan määrän Internetiä haitallisille toimijoille.
Nolla-päivä Hyökkäykset ovat suunnilleen yhtä huonoja kuin se voi olla, varsinkin kun ne tunnistetaan ohjelmistossa, joka on yhtä yleinen kuin Apachen Log4j-lokikirjasto. Verkossa jaettiin proof-of-concept-hyökkäys, joka altistaa kaikki mahdollisille etäkoodin suorittamisen (RCE) hyökkäyksille, ja se vaikutti joihinkin verkon suurimmista palveluihin. Hyökkäys on tunnistettu "aktiivisesti hyväksikäytetyksi", ja se on yksi vaarallisimmista viime vuosina julkistetuista hyväksikäytöistä.
Log4j on suosittu Java-pohjainen lokipaketti, jonka on kehittänyt Apache Software Foundation ja CVE-2021-44228 vaikuttaa kaikkiin Log4j-versioihin version 2.0-beta-9 ja version 2.14.1 välillä. Se on korjattu kirjaston uusimmassa versiossa, versio 2.15.0, julkaistu muutama päivä sitten. Monet palvelut ja sovellukset käyttävät Log4j: tä, mukaan lukien Minecraftin kaltaiset pelit, joissa haavoittuvuus löydettiin ensimmäisen kerran. Pilvipalvelut, kuten Steam ja Apple iCloud, todettiin myös haavoittuviksi, ja on todennäköistä, että myös kaikki Apache Strutsia käyttävät ihmiset. Jopa iPhonen nimen muuttamisen osoitettiin laukaisevan haavoittuvuuden Applen palvelimilla.
Tämä haavoittuvuus oli löydetty kirjoittanut Chen Zhaojun Alibaba Cloud Security Teamista. Mikä tahansa palvelu, joka kirjaa lokiin käyttäjän ohjaamia merkkijonoja, oli alttiina hyväksikäytölle. Käyttäjän ohjaamien merkkijonojen kirjaaminen lokiin on järjestelmänvalvojien yleinen käytäntö mahdollisen alustan väärinkäytön havaitsemiseksi, vaikka merkkijonot tulee sitten "puhtaa" - prosessi puhdistaa käyttäjän syötteet sen varmistamiseksi, ettei ohjelmistolle ole mitään haitallista. lähetetty.
Log4Shell kilpailee Heartbleedistä ankaruudessaan
Hyökkäys on nimetty "Log4Shelliksi", koska se on todentamaton RCE-haavoittuvuus, joka mahdollistaa järjestelmän täydellisen vallankaappauksen. Siellä on jo a proof-of-concept hyödyntää verkossa, ja on naurettavan helppo osoittaa, että se toimii DNS-lokiohjelmiston avulla. Jos muistat Sydänverenvuoto Useita vuosia sitten havaittu haavoittuvuus, Log4Shell antaa sille ehdottomasti rahansa vastineeksi vakavuuden suhteen.
"Samoin kuin muut korkean profiilin haavoittuvuudet, kuten Heartbleed ja Shellshock, uskomme, että Tulevien viikkojen aikana löydetään yhä enemmän haavoittuvia tuotteita", Randori Attack Tiimi sanoi blogissaan tänään. "Hyödyntämisen helppouden ja laajan sovellettavuuden vuoksi epäilemme kiristysohjelmien toimijoiden alkavan hyödyntää tätä haavoittuvuutta välittömästi", he lisäsivät. Haitalliset toimijat etsivät jo massaskannausta verkossa yrittääkseen löytää hyödynnettäviä palvelimia (välillä Piikuva tietokone).
"Monet, monet palvelut ovat haavoittuvia tälle hyväksikäytölle. Pilvipalvelut, kuten Steam, Apple iCloud ja sovellukset, kuten Minecraft, on jo havaittu haavoittuviksi", LunaSec kirjoitti. "Kaikki Apache Strutsia käyttävät ovat todennäköisesti haavoittuvia. Olemme nähneet samankaltaisia haavoittuvuuksia hyödynnettynä aiemminkin tietomurroissa, kuten vuoden 2017 Equifaxin tietomurron yhteydessä." LunaSec sanoi myös, että Java-versiot yli 6u211, 7u201, 8u191 ja 11.0.1 vaikuttavat teoriassa vähemmän, vaikka hakkerit saattavat silti pystyä kiertämään rajoituksia.
Haavoittuvuuden voi laukaista jokin niinkin arkipäiväinen kuin iPhonen nimi, mikä osoittaa, että Log4j on todella kaikkialla. Jos Java-luokka liitetään URL-osoitteen loppuun, tämä luokka lisätään palvelinprosessiin. Järjestelmänvalvojat, joilla on Log4j: n uusimmat versiot, voivat suorittaa JVM: nsä seuraavalla argumentilla estääkseen myös haavoittuvuuden hyödyntämisen, kunhan heillä on vähintään Log4j 2.10.
-Dlog4j2.formatMsgNoLookups=trueCERT NZ (Uuden-Seelannin kansallinen Computer Emergency Response Team) on antanut turvallisuusvaroituksen aktiivinen hyväksikäyttö luonnossa, ja tämän on myös vahvistanut Koalition suunnittelujohtaja - turvallisuus Tiago Henriques ja turvallisuusasiantuntija Kevin Beaumont. Cloudflare on myös arvioinut haavoittuvuuden niin vaaralliseksi, että kaikille asiakkaille myönnetään oletusarvoisesti "jonkin verran" suojausta.
Tämä on uskomattoman vaarallinen hyväksikäyttö, joka voi aiheuttaa tuhoa verkossa. Jäämme seuraamaan tarkasti mitä seuraavaksi tapahtuu.