Опасна безбедносна рањивост идентификована у Лог4ј Јава библиотеци евиденције изложила је огромне делове интернета злонамерним актерима.
Зеро-даи експлоатације су онолико лоше колико могу, посебно када су идентификоване у софтверу који је свеприсутан као Апацхе-ова Лог4ј библиотека за евидентирање. Експлоатација доказа о концепту је дељена на мрежи која све излаже потенцијалним нападима на даљинско извршавање кода (РЦЕ), а утицала је на неке од највећих услуга на вебу. Експлоатација је идентификована као „активна експлоатација“ и једна је од најопаснијих експлоатација која је објављена у јавности последњих година.
Лог4ј је популаран пакет за евидентирање заснован на Јави који је развио Апацхе Софтваре Фоундатион, и ЦВЕ-2021-44228 утиче на све верзије Лог4ј између верзије 2.0-бета-9 и верзије 2.14.1. Закрпљен је у најновијој верзији библиотеке, верзија 2.15.0, објављен пре неколико дана. Многе услуге и апликације се ослањају на Лог4ј, укључујући игре као што је Минецрафт, где је рањивост први пут откривена. Утврђено је да су Цлоуд сервиси као што су Стеам и Аппле иЦлоуд такође рањиви, а вероватно је да је и свако ко користи Апацхе Струтс. Показало се да чак и промена имена иПхоне-а изазива рањивост на Аппле-овим серверима.
Ова рањивост је била откривено аутор Цхен Зхаојун из Алибаба Цлоуд Сецурити тима. Било која услуга која евидентира стрингове које контролише корисник била је рањива на експлоатацију. Евидентирање низова које контролише корисник је уобичајена пракса администратора система како би уочили потенцијалну злоупотребу платформе, иако стрингове тада треба „дезинфиковати“ – процес чишћења корисничког уноса како би се осигурало да нема ништа штетно за софтвер који достављени.
Лог4Схелл је ривал Хеартблеед-у по својој озбиљности
Експлоатација је названа „Лог4Схелл“, јер је РЦЕ рањивост без аутентификације која омогућава потпуно преузимање система. Већ постоји а прооф-оф-цонцепт екплоит онлине, и смешно је лако показати да функционише коришћењем ДНС софтвера за евидентирање. Ако се сећате Хеартблеед рањивост од пре неколико година, Лог4Схелл дефинитивно даје предност када је у питању озбиљност.
„Слично другим рањивостима високог профила као што су Хеартблеед и Схеллсхоцк, верујемо да постоје биће све већи број рањивих производа откривених у наредним недељама", рекао је Рандори напад Тим рекли су на свом блогу данас. „Због лакоће експлоатације и ширине применљивости, сумњамо да ће актери рансомваре-а одмах почети да користе ову рањивост“, додали су. Злонамерни актери већ масовно скенирају веб како би покушали да пронађу сервере за експлоатацију (преко Блеепинг Цомпутер).
„Многе, многе услуге су рањиве на овај експлоатацију. Услуге у облаку као што су Стеам, Аппле иЦлоуд и апликације као што је Минецрафт већ су откривене као рањиве“, ЛунаСец написао. „Свако ко користи Апацхе Струтс је вероватно рањив. Видели смо сличне рањивости које су раније искоришћене у кршењима као што је повреда података Екуифак-а из 2017.“ ЛунаСец је такође рекао да Јава верзије већи од 6у211, 7у201, 8у191 и 11.0.1 су мање погођени у теорији, мада хакери и даље могу да заобиђу ограничења.
Рањивост може бити изазвана нечим тако свакодневним као што је име иПхоне-а, што показује да је Лог4ј заиста свуда. Ако се Јава класа дода на крај УРЛ-а, онда ће та класа бити убризгана у процес сервера. Администратори система са најновијим верзијама Лог4ј могу да изврше свој ЈВМ са следећим аргументом да би спречили искоришћавање рањивости, све док они су на најмање Лог4ј 2.10.
-Dlog4j2.formatMsgNoLookups=true
ЦЕРТ НЗ (Новозеландски национални тим за хитне случајеве) издао је безбедносно саветодавно упозорење о активна експлоатација у дивљини, а то је потврдио и од Коалициони директор за инжењеринг - безбедност Тиаго Хенрикуес и стручњак за безбедност Кевин Бомонт. Цлоудфларе је такође сматрао да је рањивост толико опасна да се свим корисницима подразумевано даје „нека“ заштита.
Ово је невероватно опасан подвиг који може да изазове пустош на мрежи. Пажљиво ћемо пратити шта се даље дешава.