En farlig sikkerhetssårbarhet identifisert i Log4j Java-loggingsbiblioteket har avslørt store deler av internett for ondsinnede aktører.
Null-dager utnyttelser er omtrent så ille som det blir, spesielt når de er identifisert i programvare så allestedsnærværende som Apaches Log4j-loggingsbibliotek. En proof-of-concept-utnyttelse ble delt på nettet som utsetter alle for potensielle RCE-angrep (remote code execution), og den påvirket noen av de største tjenestene på nettet. Utnyttelsen har blitt identifisert som «aktivt utnyttet», og er en av de farligste utnyttelsene som har blitt offentliggjort de siste årene.
Log4j er en populær Java-basert loggingspakke utviklet av Apache Software Foundation, og CVE-2021-44228 påvirker alle versjoner av Log4j mellom versjon 2.0-beta-9 og versjon 2.14.1. Det har blitt lappet i den nyeste versjonen av biblioteket, versjon 2.15.0, utgitt for noen dager siden. Mange tjenester og applikasjoner er avhengige av Log4j, inkludert spill som Minecraft, hvor sårbarheten først ble oppdaget. Skytjenester som Steam og Apple iCloud ble også funnet å være sårbare, og det er sannsynlig at alle som bruker Apache Struts også er det. Selv endring av navnet på en iPhone viste seg å utløse sårbarheten på Apples servere.
Denne sårbarheten var oppdaget av Chen Zhaojun fra Alibaba Cloud Security Team. Enhver tjeneste som logger brukerkontrollerte strenger var sårbare for utnyttelsen. Logging av brukerkontrollerte strenger er en vanlig praksis av systemadministratorer for å oppdage potensielt plattformmisbruk, selv om de strenger bør deretter "saneres" - prosessen med å rense brukerinndata for å sikre at det ikke er noe skadelig for programvaren sendt inn.
Log4Shell konkurrerer med Heartbleed i sin alvorlighetsgrad
Utnyttelsen har blitt kalt "Log4Shell", siden det er en uautentisert RCE-sårbarhet som tillater total systemovertakelse. Det er allerede en proof-of-concept utnyttelse på nettet, og det er latterlig enkelt å demonstrere at det fungerer ved bruk av DNS-loggingsprogramvare. Hvis du husker Hjerteblod sårbarhet fra en rekke år siden, Log4Shell gir den definitivt løp for pengene når det kommer til alvorlighetsgrad.
"I likhet med andre høyprofilerte sårbarheter som Heartbleed og Shellshock, tror vi det vil bli et økende antall sårbare produkter oppdaget i ukene som kommer," Randori Attack Team sa i bloggen deres i dag. "På grunn av den enkle utnyttelsen og bredden av anvendelighet, mistenker vi at løsepengevareaktører begynner å utnytte denne sårbarheten umiddelbart," la de til. Ondsinnede aktører masseskanner allerede nettet for å prøve å finne servere å utnytte (via Blødende datamaskin).
"Mange, mange tjenester er sårbare for denne utnyttelsen. Skytjenester som Steam, Apple iCloud og apper som Minecraft har allerede blitt funnet å være sårbare," LunaSec skrev. "Alle som bruker Apache Struts er sannsynligvis sårbare. Vi har sett lignende sårbarheter utnyttet før i brudd som 2017 Equifax databrudd." LunaSec sa også at Java-versjoner større enn 6u211, 7u201, 8u191 og 11.0.1 er mindre berørt i teorien, selv om hackere fortsatt kan omgå begrensninger.
Sårbarheten kan utløses av noe så dagligdags som navnet på en iPhone, noe som viser at Log4j virkelig er overalt. Hvis en Java-klasse legges til på slutten av URL-en, vil den klassen bli injisert i serverprosessen. Systemadministratorer med nyere versjoner av Log4j kan kjøre sin JVM med følgende argument for også å forhindre at sårbarheten blir utnyttet, så lenge de er på minst Log4j 2.10.
-Dlog4j2.formatMsgNoLookups=trueCERT NZ (New Zealands nasjonale Computer Emergency Response Team) har utstedt en sikkerhetsadvarsel om aktiv utnyttelse i naturen, og dette er også bekreftet av Koalisjonsdirektør for ingeniørfag - Sikkerhet Tiago Henriques og sikkerhetsekspert Kevin Beaumont. Sårbarheten har også blitt ansett som så farlig av Cloudflare at alle kunder får "litt" beskyttelse som standard.
Dette er en utrolig farlig utnyttelse og en som kan skape kaos på nettet. Vi kommer til å følge nøye med på hva som skjer videre.