Nevarna varnostna ranljivost, odkrita v knjižnici za beleženje Java Log4j, je zlonamernim akterjem izpostavila ogromne dele interneta.
Zero-day izkoriščanja so tako slaba, kot je le mogoče, še posebej, če so prepoznana v tako vseprisotni programski opremi, kot je Apachejeva knjižnica za beleženje Log4j. Na spletu je bil objavljen dokaz o konceptu, ki vsakogar izpostavi morebitnim napadom z izvajanjem oddaljene kode (RCE), in vplival je na nekatere največje storitve v spletu. Izkoriščanje je bilo opredeljeno kot "aktivno izkoriščanje" in je eno najnevarnejših izkoriščanj, ki je bilo javno objavljeno v zadnjih letih.
Log4j je priljubljen paket za beleženje, ki temelji na Javi, ki ga je razvila Apache Software Foundation in CVE-2021-44228 vpliva na vse različice Log4j med različico 2.0-beta-9 in različico 2.14.1. Popravljen je bil v najnovejši različici knjižnice, različica 2.15.0, izdano pred nekaj dnevi. Številne storitve in aplikacije temeljijo na Log4j, vključno z igrami, kot je Minecraft, kjer je bila ranljivost prvič odkrita. Storitve v oblaku, kot sta Steam in Apple iCloud, so bile prav tako ranljive in verjetno je tudi vsak, ki uporablja Apache Struts. Pokazalo se je, da celo sprememba imena iPhona sproži ranljivost na Applovih strežnikih.
Ta ranljivost je bila odkriti Chen Zhaojun iz skupine za varnost v oblaku Alibaba. Vsaka storitev, ki beleži uporabniško nadzorovane nize, je bila ranljiva za izkoriščanje. Beleženje nizov, ki jih nadzira uporabnik, je običajna praksa sistemskih skrbnikov, da odkrijejo morebitno zlorabo platforme, čeprav ti nize je treba nato "razkužiti" -- postopek čiščenja uporabniškega vnosa, da se zagotovi, da programska oprema ni nič škodljiva predloženo.
Log4Shell tekmuje s Heartbleedom po svoji resnosti
Izkoriščanje so poimenovali "Log4Shell", saj gre za nepreverjeno ranljivost RCE, ki omogoča popoln prevzem sistema. Že obstaja proof-of-concept exploit na spletu, in smešno enostavno je dokazati, da deluje z uporabo programske opreme za beleženje DNS. Če se spomnite na Heartbleed ranljivosti izpred več let, Log4Shell vsekakor daje za svoj denar, ko gre za resnost.
"Podobno kot pri drugih odmevnih ranljivostih, kot sta Heartbleed in Shellshock, menimo, bo v prihodnjih tednih odkritih vse več ranljivih izdelkov," je napad Randori Ekipa povedali v svojem blogu danes. "Zaradi enostavnosti izkoriščanja in širine uporabnosti sumimo, da bodo akterji izsiljevalske programske opreme takoj začeli izkoriščati to ranljivost," so dodali. Zlonamerni akterji že množično pregledujejo splet, da bi našli strežnike, ki bi jih lahko izkoristili (prek Bleeping Computer).
"Veliko, veliko storitev je ranljivih za to izkoriščanje. Storitve v oblaku, kot so Steam, Apple iCloud in aplikacije, kot je Minecraft, so že bile ranljive,« LunaSec napisal. "Vsak, ki uporablja Apache Struts, je verjetno ranljiv. Videli smo, da so bile podobne ranljivosti že izkoriščene pri vdorih, kot je kršitev podatkov Equifax leta 2017.« LunaSec je tudi dejal, da različice Java večji od 6u211, 7u201, 8u191 in 11.0.1 so teoretično manj prizadeti, čeprav se hekerji še vedno lahko izognejo omejitve.
Ranljivost lahko sproži nekaj tako vsakdanjega, kot je ime iPhona, kar dokazuje, da je Log4j resnično povsod. Če je razred Java dodan na konec URL-ja, bo ta razred vstavljen v proces strežnika. Sistemski skrbniki z najnovejšimi različicami Log4j lahko izvedejo svoj JVM z naslednjim argumentom, da tudi preprečijo izkoriščanje ranljivosti, dokler imajo vsaj Log4j 2.10.
-Dlog4j2.formatMsgNoLookups=trueCERT NZ (novozelandska nacionalna ekipa za odzivanje na računalniške nujne primere) je izdala varnostno svetovalno opozorilo o aktivno izkoriščanje v naravi, kar je potrdil tudi Koalicijski direktor inženiringa - varnost Tiago Henriques in varnostni strokovnjak Kevin Beaumont. Cloudflare je to ranljivost označil za tako nevarno, da je vsem strankam privzeto odobrena "nekatera" zaščita.
To je neverjetno nevaren podvig, ki lahko povzroči opustošenje na spletu. Pozorno bomo spremljali, kaj se bo zgodilo naslednje.