O vulnerabilitate de securitate periculoasă identificată în biblioteca de înregistrare Java Log4j a expus părți uriașe ale internetului unor actori rău intenționați.
Ziua zero Exploit-urile sunt la fel de rele, mai ales atunci când sunt identificate în software-ul la fel de omniprezent precum biblioteca de jurnalizare a Apache Log4j. O exploatare de dovadă a conceptului a fost distribuită online, care îi expune pe toți la potențiale atacuri de execuție de cod la distanță (RCE) și a afectat unele dintre cele mai mari servicii de pe web. Exploatarea a fost identificată ca fiind „exploatată în mod activ” și este una dintre cele mai periculoase exploit-uri făcute publice în ultimii ani.
Log4j este un pachet popular de înregistrare bazat pe Java dezvoltat de Apache Software Foundation și CVE-2021-44228 afectează toate versiunile de Log4j între versiunea 2.0-beta-9 și versiunea 2.14.1. A fost corectat în cea mai recentă versiune a bibliotecii, versiunea 2.15.0, lansat acum câteva zile. Multe servicii și aplicații se bazează pe Log4j, inclusiv jocuri precum Minecraft, unde vulnerabilitatea a fost descoperită pentru prima dată. Serviciile cloud, cum ar fi Steam și Apple iCloud, s-au dovedit, de asemenea, vulnerabile și este probabil ca și oricine care folosește Apache Struts. S-a arătat că chiar și schimbarea numelui unui iPhone declanșează vulnerabilitatea pe serverele Apple.
Această vulnerabilitate a fost descoperit de Chen Zhaojun de la Alibaba Cloud Security Team. Orice serviciu care înregistrează șiruri controlate de utilizator era vulnerabil la exploit. Înregistrarea șirurilor controlate de utilizator este o practică comună de către administratorii de sistem pentru a identifica potențialele abuzuri ale platformei, deși acele șirurile ar trebui să fie apoi „igienizate” -- procesul de curățare a datelor introduse de utilizator pentru a se asigura că nu este nimic dăunător pentru software-ul care este depus.
Log4Shell rivalizează cu Heartbleed în severitatea sa
Exploita-ul a fost numit „Log4Shell”, deoarece este o vulnerabilitate RCE neautentificată care permite preluarea totală a sistemului. Există deja un exploatare de dovadă a conceptului online, și este ridicol de ușor să demonstrezi că funcționează prin utilizarea software-ului de înregistrare DNS. Dacă vă amintiți Heartbleed vulnerabilitate de acum câțiva ani, Log4Shell îi dă cu siguranță o șansă pentru banii săi când vine vorba de severitate.
„Asemenea altor vulnerabilități importante, cum ar fi Heartbleed și Shellshock, credem acolo va fi un număr din ce în ce mai mare de produse vulnerabile descoperite în săptămânile următoare”, Atacul Randori Echipă au spus pe blogul lor astăzi. „Datorită ușurinței de exploatare și lărgirii aplicabilității, bănuim că actorii de ransomware încep să folosească imediat această vulnerabilitate”, au adăugat ei. Actorii rău intenționați scanează deja web-ul în masă pentru a încerca să găsească servere de exploatat (prin Bleeping Computer).
„Multe, multe servicii sunt vulnerabile la această exploatare. Serviciile cloud precum Steam, Apple iCloud și aplicații precum Minecraft s-au dovedit deja vulnerabile”, LunaSec. a scris. „Oricine care folosește Apache Struts este probabil vulnerabil. Am mai văzut vulnerabilități similare exploatate în încălcări precum încălcarea datelor Equifax din 2017.” LunaSec a mai spus că versiunile Java mai mari decât 6u211, 7u201, 8u191 și 11.0.1 sunt mai puțin afectate în teorie, deși hackerii pot fi în continuare capabili să ocolească limitări.
Vulnerabilitatea poate fi declanșată de ceva la fel de banal ca numele unui iPhone, demonstrând că Log4j este cu adevărat peste tot. Dacă o clasă Java este atașată la sfârșitul adresei URL, atunci acea clasă va fi injectată în procesul serverului. Administratorii de sistem cu versiuni recente de Log4j își pot executa JVM-ul cu următorul argument pentru a preveni, de asemenea, exploatarea vulnerabilității, atâta timp cât sunt pe cel puțin Log4j 2.10.
-Dlog4j2.formatMsgNoLookups=true
CERT NZ (Echipa națională de răspuns în caz de urgență informatică din Noua Zeelandă) a emis un avertisment de securitate privind exploatare activă în sălbăticie, iar acest lucru a fost confirmat și de Directorul Coaliției de Inginerie - Securitate Tiago Henriques și expert în securitate Kevin Beaumont. Vulnerabilitatea a fost, de asemenea, considerată atât de periculoasă de Cloudflare, încât tuturor clienților li se acordă „o anumită” protecție în mod implicit.
Aceasta este o exploatare incredibil de periculoasă și una care poate face ravagii online. Vom urmări îndeaproape ce se întâmplă în continuare.