Niebezpieczna luka w zabezpieczeniach zidentyfikowana w bibliotece rejestrowania Java Log4j naraziła ogromne obszary Internetu na działanie złośliwych podmiotów.
Dzień zerowy exploity są tak groźne, jak to tylko możliwe, zwłaszcza gdy zostaną zidentyfikowane w oprogramowaniu tak wszechobecnym, jak biblioteka rejestrowania Log4j firmy Apache. W Internecie udostępniono exploit sprawdzający koncepcję, który naraża wszystkich na potencjalne ataki na zdalne wykonanie kodu (RCE) i dotknął niektóre z największych usług w Internecie. Exploit został zidentyfikowany jako „aktywnie wykorzystywany” i jest jednym z najniebezpieczniejszych exploitów, które upubliczniono w ostatnich latach.
Log4j to popularny pakiet rejestrowania oparty na Javie opracowany przez Apache Software Foundation i CVE-2021-44228 dotyczy wszystkich wersji Log4j od wersji 2.0-beta-9 do wersji 2.14.1. Zostało to załatane w najnowszej wersji biblioteki, wersja 2.15.0, wydany kilka dni temu. Wiele usług i aplikacji opiera się na Log4j, w tym gry takie jak Minecraft, w którym luka została odkryta po raz pierwszy. Stwierdzono również, że usługi w chmurze, takie jak Steam i Apple iCloud, są podatne na ataki i prawdopodobnie każdy, kto korzysta z Apache Struts, również jest podatny na ataki. Wykazano, że nawet zmiana nazwy iPhone'a powoduje wyświetlenie luki na serwerach Apple.
Ta luka była odkryty przez Chen Zhaojun z zespołu ds. bezpieczeństwa chmury Alibaba. Każda usługa rejestrująca ciągi znaków kontrolowane przez użytkownika była podatna na exploit. Rejestrowanie ciągów znaków kontrolowanych przez użytkownika jest powszechną praktyką stosowaną przez administratorów systemów w celu wykrycia potencjalnych nadużyć na platformie ciągi znaków powinny następnie zostać „oczyszczone” – jest to proces czyszczenia danych wejściowych użytkownika, aby upewnić się, że nie ma nic szkodliwego dla tworzonego oprogramowania złożony.
Log4Shell rywalizuje z Heartbleed pod względem dotkliwości
Exploit został nazwany „Log4Shell”, ponieważ jest to nieuwierzytelniona luka w zabezpieczeniach RCE, która umożliwia całkowite przejęcie kontroli nad systemem. Jest już exploit sprawdzający koncepcję w Internecie, a absurdalnie łatwo jest wykazać, że to działa, za pomocą oprogramowania rejestrującego DNS. Jeśli pamiętasz Krwawienie z serca luki sprzed wielu lat, Log4Shell zdecydowanie daje sobie radę, jeśli chodzi o wagę.
„Podobnie jak w przypadku innych głośnych luk, takich jak Heartbleed i Shellshock, uważamy, że istnieje w nadchodzących tygodniach będzie coraz większa liczba wrażliwych produktów” – atak Randori Zespół napisali na swoim blogu Dzisiaj. „Ze względu na łatwość wykorzystania i szeroki zakres zastosowań podejrzewamy, że urzędnicy zajmujący się oprogramowaniem ransomware natychmiast zaczną wykorzystywać tę lukę” – dodali. Złośliwi aktorzy już masowo skanują sieć, próbując znaleźć serwery do wykorzystania (za pośrednictwem Piszczący komputer).
„Wiele, wiele usług jest podatnych na ten exploit. Stwierdzono już, że usługi w chmurze, takie jak Steam, Apple iCloud i aplikacje takie jak Minecraft, są podatne na ataki” – LunaSec napisał. „Każdy, kto używa Apache Struts, jest prawdopodobnie podatny na ataki. Widzieliśmy już podobne luki wykorzystywane w przypadku naruszeń, takich jak naruszenie danych Equifax w 2017 r.”. LunaSec stwierdziła również, że wersje Java nowsze niż 6u211, 7u201, 8u191 i 11.0.1 są teoretycznie mniej dotknięte, chociaż hakerom nadal może być w stanie obejść ten problem ograniczenia.
Luka może zostać wywołana przez coś tak przyziemnego jak nazwa iPhone'a, co pokazuje, że Log4j naprawdę jest wszędzie. Jeśli na końcu adresu URL zostanie dołączona klasa Java, zostanie ona wstrzyknięta do procesu serwera. Administratorzy systemów posiadający najnowsze wersje Log4j mogą uruchomić swoją maszynę JVM z następującym argumentem, aby również zapobiec wykorzystaniu luki, pod warunkiem, że są na co najmniej Log4j 2.10.
-Dlog4j2.formatMsgNoLookups=trueCERT NZ (krajowy zespół reagowania na awarie komputerowe w Nowej Zelandii) wydał ostrzeżenie dotyczące bezpieczeństwa aktywna eksploatacja na wolnościi zostało to również potwierdzone przez Dyrektor koalicji ds. inżynierii - Bezpieczeństwo Tiago Henriques I ekspert ds. bezpieczeństwa Kevin Beaumont. Luka została również uznana przez Cloudflare za tak niebezpieczną, że wszyscy klienci domyślnie otrzymują „pewną” ochronę.
Jest to niezwykle niebezpieczny exploit, który może siać spustoszenie w Internecie. Będziemy uważnie obserwować, co będzie dalej.