פגיעות אבטחה מסוכנת שזוהתה בספריית הרישום של Log4j Java חשפה חלקים עצומים של האינטרנט בפני שחקנים זדוניים.
יום אפס ניצול גרוע ככל הנראה, במיוחד כאשר הם מזוהים בתוכנה בכל מקום כמו ספריית הרישום Log4j של Apache. שותף מקוון ניצול של הוכחת מושג שחושף את כולם להתקפות פוטנציאליות של ביצוע קוד מרחוק (RCE), והוא השפיע על כמה מהשירותים הגדולים ברשת. הניצול זוהה כ"מנוצל באופן פעיל", והוא אחד הניצולים המסוכנים ביותר שהתפרסמו בשנים האחרונות.
Log4j היא חבילת רישום פופולרית מבוססת Java שפותחה על ידי קרן תוכנת Apache, ו CVE-2021-44228 משפיע על כל הגרסאות של Log4j בין גרסה 2.0-beta-9 לגרסה 2.14.1. זה תוקן בגרסה העדכנית ביותר של הספרייה, גרסה 2.15.0, שוחרר לפני מספר ימים. שירותים ויישומים רבים מסתמכים על Log4j, כולל משחקים כמו Minecraft, שם התגלתה לראשונה הפגיעות. שירותי ענן כמו Steam ו-Apple iCloud נמצאו גם הם כפגיעים, וסביר להניח שגם מי שמשתמש ב-Apache Struts. אפילו שינוי שם של אייפון הוכח כמעורר את הפגיעות בשרתים של אפל.
הפגיעות הזו הייתה גילה מאת Chen Zhaojun מצוות אבטחת הענן של עליבאבא. כל שירות שמתעד מחרוזות הנשלטות על ידי המשתמש היה חשוף לניצול. רישום של מחרוזות הנשלטות על ידי משתמש הוא נוהג נפוץ על ידי מנהלי מערכת על מנת לזהות שימוש לרעה פוטנציאלי בפלטפורמה, אם כי אלה לאחר מכן יש "לחטא" מחרוזות - תהליך ניקוי קלט המשתמש כדי להבטיח שאין שום דבר מזיק לתוכנה הוגש.
Log4Shell מתחרה ב-Heartbleed בחומרתה
הניצול זכה לכינוי "Log4Shell", מכיוון שמדובר בפגיעות RCE לא מאומתת המאפשרת השתלטות מוחלטת על המערכת. יש כבר א ניצול הוכחת מושג באינטרנט, וקל עד כדי גיחוך להדגים שזה עובד באמצעות שימוש בתוכנת רישום DNS. אם אתה זוכר את דימום לב פגיעות מלפני מספר שנים, Log4Shell בהחלט נותנת לו את הכסף בכל הנוגע לחומרה.
"בדומה לפגיעויות אחרות בפרופיל גבוה כמו Heartbleed ו-Shellshock, אנו מאמינים שיש יהיה מספר הולך וגדל של מוצרים פגיעים שיתגלו בשבועות הקרובים", מתקפת ראנדורי קְבוּצָה אמרו בבלוג שלהם היום. "בשל קלות הניצול ורוחב הישימות, אנו חושדים שחקני תוכנות כופר יתחילו למנף את הפגיעות הזו באופן מיידי", הוסיפו. שחקנים זדוניים כבר סורקים את הרשת המונית כדי לנסות למצוא שרתים לניצול (באמצעות מחשב מצמרר).
"שירותים רבים, רבים חשופים לניצול זה. שירותי ענן כמו Steam, Apple iCloud ואפליקציות כמו Minecraft כבר נמצאו כפגיעים", LunaSec כתבתי. "כל מי שמשתמש ב-Apache Struts כנראה פגיע. ראינו פגיעויות דומות מנוצלות בעבר בהפרות כמו פרצת הנתונים של Equifax 2017." LunaSec אמרה גם כי גרסאות Java יותר מ-6u211, 7u201, 8u191 ו-11.0.1 מושפעים פחות בתיאוריה, אם כי ייתכן שהאקרים עדיין יוכלו לעקוף את מגבלות.
הפגיעות יכולה להיות מופעלת על ידי משהו ארצי כמו השם של אייפון, מה שמוכיח ש-Log4j באמת נמצא בכל מקום. אם מחלקת Java מצורף לסוף כתובת ה-URL, מחלקה זו תוזרק לתהליך השרת. מנהלי מערכת עם גרסאות עדכניות של Log4j יכולים להפעיל את ה-JVM שלהם עם הארגומנט הבא כדי למנוע גם את ניצול הפגיעות, כל עוד הם ב-Log4j 2.10 לפחות.
-Dlog4j2.formatMsgNoLookups=trueCERT NZ (צוות תגובת החירום הממוחשב הלאומי של ניו זילנד) פרסם אזהרת אבטחה של ניצול פעיל בטבע, וזה אושר גם על ידי מנהל הקואליציה להנדסה - אבטחה טיאגו הנריקס ו מומחה האבטחה קווין ביומונט. הפגיעות גם נחשבה למסוכנת כל כך על ידי Cloudflare, שכל הלקוחות מקבלים הגנה "כמה" כברירת מחדל.
זהו ניצול מסוכן להפליא וכזה שיכול לזרוע הרס באינטרנט. אנחנו נעקוב מקרוב אחר מה שיקרה בהמשך.