A veszélyes „Log4j” biztonsági rés az Apple-től a Minecraftig mindent érint

A Log4j Java naplózási könyvtárában azonosított veszélyes biztonsági rés az internet hatalmas részét tette ki a rosszindulatú szereplőknek.

Nulladik nap A kizsákmányolások körülbelül olyan rosszak, amennyire csak lehet, különösen, ha a szoftverben olyan mindenütt megtalálhatóak, mint az Apache Log4j naplózási könyvtára. Az interneten megosztottak egy proof-of-concept exploitot, amely mindenkit potenciális távoli kódvégrehajtási (RCE) támadásoknak tesz ki, és hatással volt az internet néhány legnagyobb szolgáltatására. A kizsákmányolást "aktívan kihasználják"-ként azonosították, és ez az egyik legveszélyesebb kizsákmányolás, amelyet nyilvánosságra hoztak az elmúlt években.

A Log4j egy népszerű Java-alapú naplózási csomag, amelyet az Apache Software Foundation fejlesztett ki CVE-2021-44228 érinti a Log4j összes verzióját a 2.0-beta-9 és a 2.14.1 közötti verzió között. A könyvtár legújabb verziójában javítva lett, 2.15.0 verzió, néhány napja megjelent. Számos szolgáltatás és alkalmazás támaszkodik a Log4j-re, beleértve az olyan játékokat, mint a Minecraft, ahol először fedezték fel a biztonsági rést. A felhőszolgáltatások, például a Steam és az Apple iCloud szintén sebezhetőnek bizonyultak, és valószínűleg az Apache Struts-ot használók is az. Már az iPhone nevének megváltoztatása is kiváltotta a sebezhetőséget az Apple szerverein.

Ez a sebezhetőség volt felfedezték Chen Zhaojun, az Alibaba Cloud Security Team munkatársa. Minden olyan szolgáltatás, amely a felhasználó által vezérelt karakterláncokat naplózza, sebezhető volt a kihasználással szemben. A felhasználó által vezérelt karakterláncok naplózása a rendszergazdák általános gyakorlata a platformmal való lehetséges visszaélések észlelése érdekében, bár A karakterláncokat ezután "meg kell fertőtleníteni" -- a felhasználói bevitel tisztításának folyamata annak biztosítására, hogy ne legyen semmi káros a szoftverre benyújtott.

A Log4Shell a súlyosságában vetekszik a Heartbleeddel

A kizsákmányolást "Log4Shell"-nek nevezték el, mivel ez egy nem hitelesített RCE sebezhetőség, amely lehetővé teszi a rendszer teljes átvételét. Már van egy proof-of-concept exploit online, és nevetségesen könnyű bebizonyítani, hogy DNS-naplózó szoftver használatával működik. Ha emlékszel a Szívvérzés A több évvel ezelőtti sebezhetőség miatt a Log4Shell határozottan megteszi a pénzét, ha a súlyosságról van szó.

"Hasonlóan más nagy horderejű sebezhetőségekhez, mint például a Heartbleed és a Shellshock, úgy gondoljuk, Az elkövetkező hetekben egyre több sebezhető terméket fedeznek majd fel" a Randori Attack Csapat – írták a blogjukban Ma. "A kiaknázás egyszerűsége és az alkalmazhatóság széleskörűsége miatt azt gyanítjuk, hogy a zsarolóprogramok szereplői azonnal elkezdik kihasználni ezt a sebezhetőséget" - tették hozzá. A rosszindulatú szereplők már tömegesen vizsgálják az internetet, hogy megpróbáljanak szervereket találni a kihasználásra (a Csipogó számítógép).

„Sok-sok szolgáltatás ki van téve ennek a visszaélésnek. A felhőszolgáltatásokról, például a Steamről, az Apple iCloudról és az olyan alkalmazásokról, mint a Minecraft, már kiderült, hogy sebezhetőek" - mondta LunaSec. írt. "Bárki, aki Apache Strutst használ, valószínűleg sebezhető. Láttunk már hasonló sérülékenységet kihasználni olyan incidenseknél, mint a 2017-es Equifax adatszivárgás." A LunaSec azt is elmondta, hogy a Java verziók A 6u211-nél, a 7u201-nél, a 8u191-nél és a 11.0.1-nél nagyobb verziók elméletileg kevésbé érintettek, bár a hackerek továbbra is képesek megkerülni a korlátozások.

A sérülékenységet olyan hétköznapi dolgok válthatják ki, mint egy iPhone neve, ami azt mutatja, hogy a Log4j valóban mindenhol megtalálható. Ha egy Java osztályt fűznek az URL végéhez, akkor ez az osztály bekerül a szerverfolyamatba. A Log4j legújabb verzióit használó rendszergazdák végrehajthatják JVM-jüket a következő argumentum alapján, hogy megakadályozzák a biztonsági rés kihasználását mindaddig, amíg legalább Log4j 2.10-en vannak.

-Dlog4j2.formatMsgNoLookups=true

A CERT NZ (Új-Zéland nemzeti számítógépes vészhelyzeti reagáló csoportja) biztonsági figyelmeztetést adott ki aktív kizsákmányolás a vadonban, és ezt az is megerősítette A koalíció mérnöki igazgatója – Tiago Henriques és biztonsági szakértő, Kevin Beaumont. A sérülékenységet a Cloudflare is annyira veszélyesnek minősítette, hogy alapértelmezés szerint minden ügyfél "valamilyen" védelmet kap.

Ez egy hihetetlenül veszélyes kizsákmányolás, amely pusztítást okozhat az interneten. Szorosan figyelni fogjuk, mi történik ezután.