სახიფათო უსაფრთხოების დაუცველობამ, რომელიც იდენტიფიცირებულია Log4j Java ჟურნალის ბიბლიოთეკაში, გამოავლინა ინტერნეტის უზარმაზარი ნაწილი მავნე აქტორებისთვის.
ნულოვანი დღე ექსპლოიტები ისეთივე ცუდია, როგორც ეს ხდება, განსაკუთრებით მაშინ, როდესაც ისინი იდენტიფიცირებულია პროგრამულ უზრუნველყოფაში, როგორც Apache-ს Log4j ჟურნალის ბიბლიოთეკა. კონცეფციის დამადასტურებელი ექსპლოიტი გაზიარებული იყო ონლაინ, რომელიც ყველას ავლენს პოტენციურ დისტანციური კოდის შესრულების (RCE) თავდასხმებს და მან გავლენა მოახდინა ინტერნეტში არსებულ ზოგიერთ უდიდეს სერვისზე. ექსპლოიტი იდენტიფიცირებულია, როგორც „აქტიურად ექსპლუატირებული“ და არის ერთ-ერთი ყველაზე საშიში ექსპლოიტი, რომელიც საჯარო გახდა ბოლო წლების განმავლობაში.
Log4j არის პოპულარული ჯავაზე დაფუძნებული ჟურნალის პაკეტი, რომელიც შემუშავებულია Apache Software Foundation-ის მიერ და CVE-2021-44228 გავლენას ახდენს Log4j-ის ყველა ვერსიაზე 2.0-beta-9 და 2.14.1 ვერსიას შორის. ის დაყენებულია ბიბლიოთეკის უახლეს ვერსიაში, ვერსია 2.15.0რამდენიმე დღის წინ გამოვიდა. ბევრი სერვისი და აპლიკაცია ეყრდნობა Log4j-ს, მათ შორის თამაშები, როგორიცაა Minecraft, სადაც პირველად აღმოაჩინეს დაუცველობა. ღრუბლოვანი სერვისები, როგორიცაა Steam და Apple iCloud, ასევე აღმოჩნდა დაუცველი და სავარაუდოა, რომ ვინმე იყენებს Apache Struts-ს. აიფონის სახელის შეცვლაც კი აჩვენა, რომ Apple-ის სერვერებზე დაუცველობა გამოიწვია.
ეს დაუცველობა იყო აღმოაჩინა ჩენ ჟაჯუნის მიერ Alibaba Cloud Security გუნდიდან. ნებისმიერი სერვისი, რომელიც იწერს მომხმარებლის მიერ კონტროლირებად სტრიქონებს, იყო დაუცველი ექსპლოიტის მიმართ. მომხმარებლის მიერ კონტროლირებადი სტრიქონების აღრიცხვა ჩვეულებრივი პრაქტიკაა სისტემის ადმინისტრატორების მიერ, რათა აღმოაჩინონ პოტენციური პლატფორმის ბოროტად გამოყენება, თუმცა შემდეგ სტრიქონები უნდა იყოს "გაწმენდილი" - მომხმარებლის შეყვანის გაწმენდის პროცესი, რათა უზრუნველყოს, რომ არაფერი საზიანო არ არის პროგრამული უზრუნველყოფისთვის. წარდგენილი.
Log4Shell კონკურენციას უწევს Heartbleed-ს თავისი სიმძიმით
ექსპლოიტს ეწოდა "Log4Shell", რადგან ეს არის არაავთენტიფიცირებული RCE დაუცველობა, რომელიც იძლევა სისტემის სრული აღების საშუალებას. უკვე არის ა proof-of-concept ექსპლოიტი ონლაინ, და სასაცილოდ ადვილია იმის დემონსტრირება, რომ ის მუშაობს DNS ჟურნალის პროგრამული უზრუნველყოფის გამოყენებით. თუ გახსოვთ გულგახეთქილი რამდენიმე წლის წინანდელი დაუცველობა, Log4Shell ნამდვილად აძლევს მას ფულს, როდესაც საქმე სიმძიმეს ეხება.
„სხვა გახმაურებული დაუცველობის მსგავსად, როგორიცაა Heartbleed და Shellshock, ჩვენ გვჯერა, რომ არსებობს მომდევნო კვირებში აღმოჩენილი დაუცველი პროდუქტების მზარდი რაოდენობა იქნება“, - Randori Attack გუნდი თქვა მათ ბლოგში დღეს. „ექსპლუატაციის სიმარტივისა და გამოყენების სიგანის გამო, ჩვენ ვეჭვობთ, რომ გამოსასყიდი პროგრამის მონაწილეები დაუყოვნებლივ დაიწყებენ ამ დაუცველობის გამოყენებას“, - დასძინეს მათ. მავნე მოქმედი პირები უკვე მასიურად სკანირებენ ინტერნეტს, რათა მოძებნონ სერვერები გამოსაყენებლად (via ბლეპინგ კომპიუტერი).
„ბევრი, ბევრი სერვისი დაუცველია ამ ექსპლუატაციის მიმართ. ღრუბლოვანი სერვისები, როგორიცაა Steam, Apple iCloud და აპლიკაციები, როგორიცაა Minecraft, უკვე აღმოჩნდა დაუცველი. ”- LunaSec დაწერა. ”ვინც იყენებს Apache Struts-ს, სავარაუდოდ დაუცველია. ჩვენ ვნახეთ მსგავსი დაუცველობა, რომლებიც ადრე გამოიყენეს ისეთი დარღვევების დროს, როგორიცაა 2017 წლის Equifax მონაცემთა გარღვევა." LunaSec-მა ასევე თქვა, რომ Java ვერსიები 6u211, 7u201, 8u191 და 11.0.1-ზე მეტი, თეორიულად ნაკლებად დაზარალდება, თუმცა ჰაკერებს მაინც შეუძლიათ იმუშაონ გარშემო შეზღუდვები.
დაუცველობა შეიძლება გამოწვეული იყოს რაღაც ისეთივე ამქვეყნიური, როგორიც არის iPhone-ის სახელი, რაც აჩვენებს, რომ Log4j ნამდვილად არის ყველგან. თუ Java კლასი დაემატება URL-ის ბოლოს, მაშინ ეს კლასი იქნება ინექცია სერვერის პროცესში. სისტემის ადმინისტრატორებს Log4j-ის უახლესი ვერსიებით შეუძლიათ შეასრულონ თავიანთი JVM შემდეგი არგუმენტით, რათა თავიდან აიცილონ დაუცველობის ექსპლუატაცია, სანამ ისინი მინიმუმ Log4j 2.10-ზე არიან.
-Dlog4j2.formatMsgNoLookups=trueCERT NZ-მა (ახალი ზელანდიის კომპიუტერულ გადაუდებელ სიტუაციებზე რეაგირების ეროვნულმა ჯგუფმა) გამოსცა უსაფრთხოების საკონსულტაციო გაფრთხილება აქტიური ექსპლუატაცია ველურშიდა ეს ასევე დაადასტურა კოალიციის დირექტორი საინჟინრო - უსაფრთხოების ტიაგო ჰენრიკესი და უსაფრთხოების ექსპერტი კევინ ბომონტი. დაუცველობა Cloudflare-მა ასევე მიიჩნია ისე საშიშად, რომ ყველა მომხმარებელს ნაგულისხმევად ეძლევა „გარკვეული“ დაცვა.
ეს არის წარმოუდგენლად სახიფათო ექსპლუატაცია და ის, რომელსაც შეუძლია ინტერნეტში განადგურება მოახდინოს. ჩვენ ყურადღებით დავაკვირდებით რა მოხდება შემდეგ.