Nebezpečná bezpečnostná chyba identifikovaná v protokolovacej knižnici Log4j Java odhalila obrovské množstvo internetu škodlivým aktérom.
Nultý deň exploity sú asi také zlé, ako sa len dá, najmä keď sú identifikované v softvéri tak všadeprítomnom ako protokolovacia knižnica Log4j od Apache. Online bol zdieľaný proof-of-concept exploit, ktorý každého vystavuje potenciálnym útokom na vzdialené spustenie kódu (RCE), a ovplyvnilo to niektoré z najväčších služieb na webe. Tento exploit bol identifikovaný ako „aktívne využívaný“ a je jedným z najnebezpečnejších exploitov, ktoré boli v posledných rokoch zverejnené.
Log4j je populárny protokolovací balík založený na jazyku Java vyvinutý spoločnosťou Apache Software Foundation a CVE-2021-44228 ovplyvňuje všetky verzie Log4j medzi verziou 2.0-beta-9 a verziou 2.14.1. Bol opravený v najnovšej verzii knižnice, verzia 2.15.0, vydané pred niekoľkými dňami. Mnoho služieb a aplikácií sa spolieha na Log4j, vrátane hier ako Minecraft, kde bola táto chyba prvýkrát objavená. Cloudové služby ako Steam a Apple iCloud sa tiež ukázali ako zraniteľné a je pravdepodobné, že každý, kto používa Apache Struts, je tiež. Ukázalo sa, že aj zmena názvu iPhonu spustila zraniteľnosť na serveroch Apple.
Táto zraniteľnosť bola objavil od Chen Zhaojun z tímu Alibaba Cloud Security Team. Každá služba, ktorá zaznamenáva reťazce riadené používateľom, bola zraniteľná voči zneužitiu. Zapisovanie reťazcov riadených používateľom je bežnou praxou systémových administrátorov s cieľom odhaliť potenciálne zneužitie platformy, hoci reťazce by sa potom mali „dezinfikovať“ – proces čistenia používateľského vstupu, aby sa zabezpečilo, že softvér nie je škodlivý predložené.
Log4Shell konkuruje Heartbleed vo svojej závažnosti
Tento exploit bol nazvaný „Log4Shell“, keďže ide o neoverenú RCE zraniteľnosť, ktorá umožňuje úplné prevzatie systému. Už existuje a proof-of-concept exploit onlinea je smiešne jednoduché preukázať, že to funguje pomocou softvéru na zaznamenávanie DNS. Ak si spomeniete na Srdcové krvácanie Zraniteľnosť spred niekoľkých rokov, Log4Shell mu rozhodne dáva zabrať, pokiaľ ide o závažnosť.
„Podobne ako v prípade iných významných zraniteľností, ako sú Heartbleed a Shellshock, veríme, že bude v nasledujúcich týždňoch objavovať čoraz väčší počet zraniteľných produktov,“ uviedol Randori Attack Tím uviedol vo svojom blogu dnes. „Vzhľadom na jednoduché využitie a šírku použiteľnosti podozrievame aktérov ransomvéru, aby začali túto zraniteľnosť okamžite využívať,“ dodali. Škodliví aktéri už hromadne prehľadávajú web, aby našli servery, ktoré by mohli zneužiť (cez Pípajúci počítač).
„Veľa, veľa služieb je zraniteľných voči tomuto zneužitiu. Cloudové služby ako Steam, Apple iCloud a aplikácie ako Minecraft sa už ukázali ako zraniteľné,“ LunaSec napísal. „Každý, kto používa Apache Struts, je pravdepodobne zraniteľný. Už predtým sme videli podobné zraniteľnosti zneužité pri porušeniach, ako je porušenie údajov Equifax v roku 2017." LunaSec tiež uviedol, že verzie Java väčšie ako 6u211, 7u201, 8u191 a 11.0.1 sú teoreticky menej ovplyvnené, hoci hackeri môžu byť stále schopní obísť obmedzenia.
Zraniteľnosť môže byť vyvolaná niečím tak svetským, ako je názov iPhone, čo dokazuje, že Log4j je skutočne všade. Ak sa na koniec adresy URL pridá trieda Java, táto trieda sa vloží do procesu servera. Správcovia systému s najnovšími verziami Log4j môžu spustiť svoje JVM s nasledujúcim argumentom, aby tiež zabránili zneužitiu zraniteľnosti, pokiaľ sú na minimálne Log4j 2.10.
-Dlog4j2.formatMsgNoLookups=trueCERT NZ (Novozélandský národný tím pre počítačové núdzové reakcie) vydal bezpečnostné varovanie pred aktívne využívanie vo voľnej prírode, a to potvrdil aj Koaličný riaditeľ inžinierstva - bezpečnosť Tiago Henriques a bezpečnostný expert Kevin Beaumont. Cloudflare považuje túto zraniteľnosť za takú nebezpečnú, že všetkým zákazníkom je štandardne poskytnutá „nejaká“ ochrana.
Toto je neuveriteľne nebezpečný exploit, ktorý môže spôsobiť zmätok online. Budeme pozorne sledovať, čo sa bude diať ďalej.