Opasna sigurnosna ranjivost identificirana u Log4j Java biblioteci zapisivanja izložila je goleme dijelove interneta zlonamjernim akterima.
Nulti dan exploit-i su loši koliko god mogu biti, pogotovo kada su prepoznati u softveru tako sveprisutnom poput Apacheove Log4j knjižnice za bilježenje. Iskorištavanje dokaza koncepta podijeljeno je na mreži koje sve izlaže mogućim napadima daljinskog izvršavanja koda (RCE), a utjecalo je na neke od najvećih usluga na webu. Eksploatacija je identificirana kao "aktivna eksploatacija" i jedna je od najopasnijih eksploatacija koje su objavljene u posljednjih nekoliko godina.
Log4j je popularan paket za bilježenje temeljen na Javi koji je razvio Apache Software Foundation i CVE-2021-44228 utječe na sve verzije Log4j između verzije 2.0-beta-9 i verzije 2.14.1. Zakrpan je u najnovijoj verziji biblioteke, verzija 2.15.0, objavljen prije nekoliko dana. Mnoge usluge i aplikacije oslanjaju se na Log4j, uključujući igre poput Minecrafta, gdje je ranjivost prvi put otkrivena. Utvrđeno je da su usluge u oblaku kao što su Steam i Apple iCloud također ranjive, a vjerojatno je i svatko tko koristi Apache Struts. Pokazalo se da čak i promjena imena iPhonea pokreće ranjivost na Appleovim poslužiteljima.
Ova ranjivost bila je otkrio Chen Zhaojun iz Alibabinog tima za sigurnost u oblaku. Svaka usluga koja bilježi nizove koje kontrolira korisnik bila je ranjiva na iskorištavanje. Bilježenje nizova koje kontrolira korisnik uobičajena je praksa administratora sustava kako bi uočili potencijalnu zlouporabu platforme, iako one nizovi bi tada trebali biti "dezinficirani" -- proces čišćenja korisničkog unosa kako bi se osiguralo da nema ništa štetno za softver podnesen.
Log4Shell je konkurent Heartbleedu po svojoj ozbiljnosti
Eksploatacija je nazvana "Log4Shell", budući da se radi o neautentificiranoj RCE ranjivosti koja omogućuje potpuno preuzimanje sustava. Već postoji proof-of-concept exploit online, a smiješno je lako demonstrirati da radi pomoću softvera za bilježenje DNS-a. Ako se sjećate Heartbleed ranjivost od prije nekoliko godina, Log4Shell definitivno daje prednost kada je u pitanju ozbiljnost.
"Slično drugim ranjivostima visokog profila kao što su Heartbleed i Shellshock, vjerujemo da postoji bit će sve veći broj ranjivih proizvoda otkrivenih u tjednima koji dolaze", Randori Attack Tim rekli su u svom blogu danas. "Zbog lakoće iskorištavanja i širine primjenjivosti, sumnjamo da će akteri ransomwarea odmah početi iskorištavati ovu ranjivost", dodali su. Zlonamjerni akteri već masovno skeniraju web kako bi pokušali pronaći poslužitelje za iskorištavanje (putem Blještavo računalo).
"Mnoge, mnoge usluge su ranjive na ovaj napad. Već je utvrđeno da su usluge u oblaku kao što su Steam, Apple iCloud i aplikacije poput Minecrafta ranjive," LunaSec napisao. "Svatko tko koristi Apache Struts vjerojatno je ranjiv. Vidjeli smo da su se slične ranjivosti iskorištavale prije u upadima kao što je upad podataka Equifaxa 2017." LunaSec je također rekao da su verzije Jave veći od 6u211, 7u201, 8u191 i 11.0.1 manje su pogođeni u teoriji, iako hakeri još uvijek mogu zaobići ograničenja.
Ranjivost može biti potaknuta nečim tako svakodnevnim kao što je ime iPhonea, pokazujući da je Log4j uistinu posvuda. Ako je Java klasa dodana na kraj URL-a, tada će ta klasa biti umetnuta u proces poslužitelja. Administratori sustava s novijim verzijama Log4j mogu pokrenuti svoj JVM sa sljedećim argumentom kako bi također spriječili iskorištavanje ranjivosti, sve dok oni su na najmanje Log4j 2.10.
-Dlog4j2.formatMsgNoLookups=trueCERT NZ (Novozelandski nacionalni tim za odgovor na računalne hitne slučajeve) izdao je sigurnosno upozorenje od aktivno iskorištavanje u divljini, a to je potvrdio i Koalicijski direktor inženjeringa - sigurnost Tiago Henriques i sigurnosni stručnjak Kevin Beaumont. Ranjivost je Cloudflare također smatrao toliko opasnom da je svim korisnicima dodijeljena "neka" zaštita prema zadanim postavkama.
Ovo je nevjerojatno opasna eksploatacija koja može izazvati haos na internetu. Budno ćemo pratiti što će se sljedeće dogoditi.