Log4j Java registravimo bibliotekoje nustatytas pavojingas saugos pažeidžiamumas atskleidė didžiulius interneto sluoksnius kenkėjiškiems veikėjams.
Nulinė diena išnaudojimai yra beveik tokie pat blogi, kokie yra, ypač kai jie identifikuojami programinėje įrangoje, kuri yra tokia visur paplitusi kaip Apache Log4j registravimo biblioteka. Internete buvo dalijamasi koncepcijos įrodymo priemone, dėl kurios kiekvienas gali patirti nuotolinio kodo vykdymo (RCE) atakas, ir tai paveikė kai kurias didžiausias žiniatinklio paslaugas. Šis išnaudojimas buvo nustatytas kaip „aktyviai išnaudojamas“ ir yra vienas pavojingiausių pastaraisiais metais viešai paskelbtų išnaudojimų.
„Log4j“ yra populiarus „Java“ pagrindu sukurtas registravimo paketas, kurį sukūrė „Apache Software Foundation“ ir CVE-2021-44228 paveikia visas Log4j versijas nuo 2.0-beta-9 iki 2.14.1 versijos. Ji buvo pataisyta naujausioje bibliotekos versijoje, 2.15.0 versija, išleistas prieš kelias dienas. Daugelis paslaugų ir programų remiasi „Log4j“, įskaitant tokius žaidimus kaip „Minecraft“, kur pažeidžiamumas buvo pirmą kartą aptiktas. Taip pat buvo nustatyta, kad debesų paslaugos, tokios kaip „Steam“ ir „Apple iCloud“, yra pažeidžiamos, ir tikėtina, kad visi, naudojantys „Apache Struts“, taip pat yra pažeidžiami. Buvo įrodyta, kad net pakeitus „iPhone“ pavadinimą „Apple“ serveriuose atsirado pažeidžiamumas.
Šis pažeidžiamumas buvo atrado Chen Zhaojun iš Alibaba Cloud Security Team. Bet kuri paslauga, registruojanti vartotojo valdomas eilutes, buvo pažeidžiama dėl išnaudojimo. Vartotojo valdomų eilučių registravimas yra įprasta sistemos administratorių praktika, siekiant pastebėti galimą piktnaudžiavimą platforma, nors tada eilutės turėtų būti „išvalytos“ – naudotojo įvesties valymo procesas, siekiant užtikrinti, kad programinė įranga nebūtų kenksminga. pateikti.
„Log4Shell“ savo sunkumu konkuruoja su „Heartbleed“.
Išnaudojimas buvo pavadintas „Log4Shell“, nes tai neautentizuotas RCE pažeidžiamumas, leidžiantis visiškai perimti sistemą. Jau yra a koncepcijos įrodymo išnaudojimas internete, ir juokingai lengva įrodyti, kad tai veikia naudojant DNS registravimo programinę įrangą. Jei prisimenate Kraujavimas iš širdies Pažeidžiamumas, atsiradęs prieš keletą metų, „Log4Shell“ neabejotinai pasitenkina savo pinigus, kai kalbama apie sunkumą.
„Mes tikime, kaip ir kitose didelio masto pažeidžiamumo srityse, pvz., „Heartbleed“ ir „Shellshock“. per ateinančias savaites bus aptikta vis daugiau pažeidžiamų produktų“, – „Randori Attack“. Komanda sakė savo tinklaraštyje šiandien. „Dėl lengvo išnaudojimo ir plataus pritaikymo įtariame, kad išpirkos reikalaujančios programos veikėjai nedelsdami pradės panaudoti šį pažeidžiamumą“, – pridūrė jie. Kenkėjiški veikėjai jau masiškai nuskaito žiniatinklį, kad surastų serverius, kuriuos būtų galima išnaudoti (per Blyksnis kompiuteris).
„Daugelis paslaugų yra pažeidžiamos dėl šio išnaudojimo. Debesijos paslaugos, tokios kaip „Steam“, „Apple iCloud“ ir tokios programos kaip „Minecraft“, jau buvo pažeidžiamos“, – sakė „LunaSec“. rašė. „Kiekvienas, naudojantis Apache Struts, greičiausiai yra pažeidžiamas. Matėme, kad panašios spragos anksčiau buvo išnaudotos pažeidimuose, tokiuose kaip 2017 m. „Equifax“ duomenų pažeidimas.“ „LunaSec“ taip pat teigė, kad „Java“ versijos didesnės nei 6u211, 7u201, 8u191 ir 11.0.1 teoriškai yra mažiau paveiktos, nors įsilaužėliai vis tiek gali apeiti apribojimai.
Pažeidžiamumą gali sukelti kažkas tokio kasdieniško, kaip iPhone pavadinimas, parodantis, kad Log4j tikrai yra visur. Jei prie URL pabaigos pridedama Java klasė, ta klasė bus įtraukta į serverio procesą. Sistemos administratoriai, turintys naujausias Log4j versijas, gali vykdyti savo JVM naudodami šį argumentą, kad taip pat būtų išvengta pažeidžiamumo išnaudojimo, kol jie turi bent Log4j 2.10.
-Dlog4j2.formatMsgNoLookups=true
CERT NZ (Naujosios Zelandijos nacionalinė kompiuterių avarijų reagavimo komanda) paskelbė saugos įspėjimą aktyvus išnaudojimas gamtoje, ir tai taip pat patvirtino Koalicijos inžinerijos direktorius – saugos Tiago Henriquesas ir saugumo ekspertas Kevinas Beaumontas. „Cloudflare“ pažeidžiamumą taip pat laikė tokiu pavojingu, kad visiems klientams pagal numatytuosius nustatymus suteikiama „tam tikra“ apsauga.
Tai neįtikėtinai pavojingas išnaudojimas, galintis sukelti sumaištį internete. Mes atidžiai stebėsime, kas nutiks toliau.