Een gevaarlijk beveiligingsprobleem dat is geïdentificeerd in de Log4j Java-logboekbibliotheek heeft grote delen van het internet blootgesteld aan kwaadwillende actoren.
Nul-dag exploits zijn ongeveer net zo erg als mogelijk, vooral als ze worden geïdentificeerd in software die zo alomtegenwoordig is als Apache's Log4j-logboekbibliotheek. Er werd online een proof-of-concept-exploit gedeeld die iedereen blootstelt aan mogelijke RCE-aanvallen (Remote Code Execution), en die gevolgen had voor enkele van de grootste services op internet. Er is vastgesteld dat de exploit 'actief wordt uitgebuit' en is een van de gevaarlijkste exploits die de afgelopen jaren openbaar zijn gemaakt.
Log4j is een populair Java-gebaseerd logpakket ontwikkeld door de Apache Software Foundation CVE-2021-44228 heeft invloed op alle versies van Log4j tussen versie 2.0-beta-9 en versie 2.14.1. Het is gepatcht in de meest recente versie van de bibliotheek, versie 2.15.0, een paar dagen geleden uitgebracht. Veel diensten en applicaties zijn afhankelijk van Log4j, inclusief games als Minecraft, waarin de kwetsbaarheid voor het eerst werd ontdekt. Clouddiensten zoals Steam en Apple iCloud bleken ook kwetsbaar, en het is waarschijnlijk dat iedereen die Apache Struts gebruikt dat ook is. Zelfs het veranderen van de naam van een iPhone bleek de kwetsbaarheid op de servers van Apple te veroorzaken.
Deze kwetsbaarheid was ontdekt door Chen Zhaojun van het Alibaba Cloud Security-team. Elke service die door de gebruiker gecontroleerde tekenreeksen registreert, was kwetsbaar voor de exploit. Het loggen van door de gebruiker gecontroleerde strings is een gangbare praktijk onder systeembeheerders om potentieel platformmisbruik op te sporen strings moeten dan worden "opgeschoond" - het proces waarbij gebruikersinvoer wordt opgeschoond om ervoor te zorgen dat er niets schadelijks is voor de software die wordt gebruikt. ingediend.
Log4Shell concurreert met Heartbleed in zijn ernst
De exploit wordt "Log4Shell" genoemd, omdat het een niet-geverifieerde RCE-kwetsbaarheid is die totale systeemovername mogelijk maakt. Er is al een proof-of-concept-exploit online, en het is belachelijk eenvoudig om aan te tonen dat het werkt door het gebruik van DNS-logboeksoftware. Als u zich de Hartbloeding kwetsbaarheid van een aantal jaren geleden, geeft Log4Shell het zeker waar voor zijn geld als het gaat om de ernst.
"Net als bij andere spraakmakende kwetsbaarheden zoals Heartbleed en Shellshock geloven wij dat er Er zullen de komende weken steeds meer kwetsbare producten worden ontdekt”, aldus de Randori Attack Team zeiden in hun blog Vandaag. "Vanwege het gemak van exploitatie en de breedte van de toepasbaarheid vermoeden we dat ransomware-actoren onmiddellijk gebruik gaan maken van deze kwetsbaarheid", voegde ze eraan toe. Kwaadwillige actoren scannen het internet al massaal om te proberen servers te vinden die ze kunnen misbruiken (via Piepende computer).
“Veel, heel veel diensten zijn kwetsbaar voor deze exploit. Clouddiensten als Steam, Apple iCloud en apps als Minecraft zijn al kwetsbaar gebleken”, aldus LunaSec schreef. "Iedereen die Apache Struts gebruikt, is waarschijnlijk kwetsbaar. We hebben soortgelijke kwetsbaarheden eerder uitgebuit gezien bij inbreuken zoals het datalek bij Equifax uit 2017." LunaSec zei ook dat Java-versies groter dan 6u211, 7u201, 8u191 en 11.0.1 worden in theorie minder getroffen, hoewel hackers mogelijk nog steeds de problemen kunnen omzeilen beperkingen.
De kwetsbaarheid kan worden veroorzaakt door zoiets alledaags als de naam van een iPhone, wat aantoont dat Log4j werkelijk overal aanwezig is. Als een Java-klasse aan het einde van de URL wordt toegevoegd, wordt die klasse in het serverproces geïnjecteerd. Systeembeheerders met recente versies van Log4j kunnen hun JVM uitvoeren met het volgende argument om ook te voorkomen dat de kwetsbaarheid wordt misbruikt, zolang ze gebruiken minimaal Log4j 2.10.
-Dlog4j2.formatMsgNoLookups=trueCERT NZ (het nationale Computer Emergency Response Team van Nieuw-Zeeland) heeft een veiligheidswaarschuwing afgegeven actieve exploitatie in het wild, en dit is ook bevestigd door Coalitiedirecteur Engineering - Beveiliging Tiago Henriques En beveiligingsexpert Kevin Beaumont. De kwetsbaarheid wordt door Cloudflare ook zo gevaarlijk geacht dat alle klanten standaard "enige" bescherming krijgen.
Dit is een ongelooflijk gevaarlijke exploit die online grote schade kan aanrichten. We houden nauwlettend in de gaten wat er verder gebeurt.