Log4j Java reģistrēšanas bibliotēkā konstatētā bīstama drošības ievainojamība ir pakļāvusi milzīgus interneta lokus ļaunprātīgiem dalībniekiem.
Nulles diena ļaunprātīgas darbības ir tikpat sliktas, cik vien tas var būt, it īpaši, ja tie ir identificēti programmatūrā, kas ir tikpat izplatīta kā Apache Log4j reģistrēšanas bibliotēka. Tiešsaistē tika kopīgots koncepcijas pierādījums, kas visus pakļauj potenciāliem attālās koda izpildes (RCE) uzbrukumiem, un tas ietekmēja dažus no lielākajiem pakalpojumiem tīmeklī. Ekspluatācija ir identificēta kā "aktīvi izmantota", un tas ir viens no bīstamākajiem izmantošanas gadījumiem, kas pēdējos gados publiskots.
Log4j ir populāra Java reģistrēšanas pakotne, ko izstrādājis Apache Software Foundation, un CVE-2021-44228 ietekmē visas Log4j versijas no 2.0-beta-9 līdz versijai 2.14.1. Tas ir labots jaunākajā bibliotēkas versijā, versija 2.15.0, izlaists pirms dažām dienām. Daudzi pakalpojumi un lietojumprogrammas balstās uz Log4j, tostarp tādas spēles kā Minecraft, kur ievainojamība tika atklāta pirmo reizi. Mākoņpakalpojumi, piemēram, Steam un Apple iCloud, arī tika atzīti par neaizsargātiem, un, visticamāk, arī ikviens, kas izmanto Apache Struts. Tika pierādīts, ka pat iPhone nosaukuma maiņa izraisīja ievainojamību Apple serveros.
Šī ievainojamība bija atklāja autors Chen Zhaojun no Alibaba Cloud Security Team. Jebkurš pakalpojums, kas reģistrē lietotāja kontrolētas virknes, bija neaizsargāts pret ļaunprātīgu izmantošanu. Lietotāja kontrolētu virkņu reģistrēšana ir izplatīta sistēmas administratoru prakse, lai atklātu iespējamo platformas ļaunprātīgu izmantošanu, lai gan virknes pēc tam ir "jāattīra" — lietotāja ievades tīrīšanas process, lai nodrošinātu, ka programmatūrai nav nekā kaitīga. iesniegts.
Log4Shell savā nopietnībā konkurē ar Heartbleed
Ekspluatācija ir nosaukta par "Log4Shell", jo tā ir neautentificēta RCE ievainojamība, kas ļauj pilnībā pārņemt sistēmu. Tur jau ir a koncepcijas pierādījuma izmantošana tiešsaistē, un ir smieklīgi viegli pierādīt, ka tas darbojas, izmantojot DNS reģistrēšanas programmatūru. Ja atceraties, Sirds asiņošana Ievainojamība, kas radusies pirms vairākiem gadiem, Log4Shell noteikti attaisno naudu, kad runa ir par smaguma pakāpi.
"Līdzīgi citām augsta līmeņa ievainojamībām, piemēram, Heartbleed un Shellshock, mēs ticam, ka turpmākajās nedēļās tiks atklāts arvien lielāks skaits neaizsargātu produktu," Randori Attack Komanda teikts savā emuārā šodien. "Pateicoties vienkāršajai izmantošanai un plašās pielietojamības jomā, mums ir aizdomas, ka izspiedējvīrusa dalībnieki nekavējoties sāk izmantot šo ievainojamību," viņi piebilda. Ļaunprātīgi dalībnieki jau masveidā pārbauda tīmekli, lai mēģinātu atrast serverus, ko izmantot (izmantojot Pīkstošs dators).
"Daudzi, daudzi pakalpojumi ir neaizsargāti pret šo izmantošanu. Mākoņpakalpojumi, piemēram, Steam, Apple iCloud un lietotnes, piemēram, Minecraft, jau ir atzīti par neaizsargātiem, "LunaSec rakstīja. "Ikviens, kas izmanto Apache Struts, visticamāk, ir neaizsargāts. Mēs esam redzējuši līdzīgas ievainojamības, kas iepriekš izmantotas tādos pārkāpumos kā 2017. gada Equifax datu pārkāpums." LunaSec arī teica, ka Java versijas versijas, kas lielākas par 6u211, 7u201, 8u191 un 11.0.1, teorētiski tiek ietekmētas mazāk, lai gan hakeri joprojām var apiet ierobežojumiem.
Ievainojamību var izraisīt kaut kas tik ikdienišķs kā iPhone nosaukums, parādot, ka Log4j patiešām ir visur. Ja URL beigās ir pievienota Java klase, šī klase tiks ievadīta servera procesā. Sistēmas administratori ar jaunākām Log4j versijām var izpildīt savu JVM ar šādu argumentu, lai arī novērstu ievainojamības izmantošanu, ja vien tie ir vismaz Log4j 2.10.
-Dlog4j2.formatMsgNoLookups=trueCERT NZ (Jaunzēlandes nacionālā datoru avāriju reaģēšanas komanda) ir izplatījusi drošības brīdinājumu aktīva ekspluatācija savvaļā, un to ir apstiprinājuši arī Koalīcijas inženieru direktors - drošības Tiago Henriques un drošības eksperts Kevins Bomonts. Arī Cloudflare ievainojamību ir uzskatījis par tik bīstamu, ka visiem klientiem pēc noklusējuma tiek piešķirta "zināma" aizsardzība.
Tas ir neticami bīstams izmantojums, kas var radīt postījumus tiešsaistē. Mēs rūpīgi sekosim tam, kas notiks tālāk.