En farlig säkerhetsrisk som identifierats i Log4j Java-loggningsbiblioteket har exponerat enorma delar av internet för illvilliga aktörer.
Nolldag exploits är ungefär så illa som det blir, särskilt när de identifieras i mjukvara som är så allestädes närvarande som Apaches Log4j-loggningsbibliotek. En proof-of-concept exploatering delades online som utsätter alla för potentiella attacker med fjärrkodexekvering (RCE), och det påverkade några av de största tjänsterna på webben. Exploateringen har identifierats som "aktivt utnyttjad", och är en av de farligaste bedrifterna som har offentliggjorts på senare år.
Log4j är ett populärt Java-baserat loggningspaket utvecklat av Apache Software Foundation, och CVE-2021-44228 påverkar alla versioner av Log4j mellan version 2.0-beta-9 och version 2.14.1. Det har korrigerats i den senaste versionen av biblioteket, version 2.15.0, släpptes för några dagar sedan. Många tjänster och applikationer förlitar sig på Log4j, inklusive spel som Minecraft, där sårbarheten först upptäcktes. Molntjänster som Steam och Apple iCloud visade sig också vara sårbara, och det är troligt att alla som använder Apache Struts också är det. Till och med att ändra en iPhones namn visade sig utlösa sårbarheten på Apples servrar.
Denna sårbarhet var upptäckt av Chen Zhaojun från Alibaba Cloud Security Team. Alla tjänster som loggar användarkontrollerade strängar var sårbara för utnyttjandet. Loggning av användarkontrollerade strängar är en vanlig praxis av systemadministratörer för att upptäcka potentiellt plattformsmissbruk, även om de strängar bör sedan "saneras" -- processen att rensa användarinmatning för att säkerställa att det inte finns något skadligt för programvaran lämnats.
Log4Shell konkurrerar med Heartbleed i dess svårighetsgrad
Exploateringen har döpts till "Log4Shell", eftersom det är en oautentiserad RCE-sårbarhet som tillåter totalt systemövertagande. Det finns redan en proof-of-concept utnyttja online, och det är löjligt enkelt att visa att det fungerar genom att använda DNS-loggningsprogram. Om du kommer ihåg Hjärtblod sårbarhet från ett antal år sedan, Log4Shell ger den definitivt en kör för pengarna när det kommer till svårighetsgrad.
"På samma sätt som andra högprofilerade sårbarheter som Heartbleed och Shellshock tror vi att det finns kommer att bli ett ökande antal sårbara produkter som upptäcks under de kommande veckorna", Randori Attack Team sa i deras blogg i dag. "På grund av den lätta exploateringen och den breda tillämpbarheten misstänker vi att ransomware-aktörer börjar utnyttja denna sårbarhet omedelbart", tillade de. Skadliga aktörer masssöker redan webben för att försöka hitta servrar att utnyttja (via Pipande dator).
"Många, många tjänster är sårbara för detta utnyttjande. Molntjänster som Steam, Apple iCloud och appar som Minecraft har redan visat sig vara sårbara", LunaSec skrev. "Alla som använder Apache Struts är sannolikt sårbara. Vi har sett liknande sårbarheter utnyttjas tidigare i intrång som 2017 års Equifax dataintrång." LunaSec sa också att Java-versioner större än 6u211, 7u201, 8u191 och 11.0.1 påverkas mindre i teorin, även om hackare fortfarande kan komma runt begränsningar.
Sårbarheten kan utlösas av något så vardagligt som en iPhones namn, vilket visar att Log4j verkligen finns överallt. Om en Java-klass läggs till i slutet av URL: en kommer den klassen att injiceras i serverprocessen. Systemadministratörer med nyare versioner av Log4j kan köra sin JVM med följande argument för att även förhindra att sårbarheten utnyttjas, så länge som de är på åtminstone Log4j 2.10.
-Dlog4j2.formatMsgNoLookups=true
CERT NZ (Nya Zeelands nationella Computer Emergency Response Team) har utfärdat en säkerhetsvarning om aktivt utnyttjande i naturen, och detta har också bekräftats av Koalitionens chef för ingenjörsvetenskap - Säkerhet Tiago Henriques och säkerhetsexperten Kevin Beaumont. Sårbarheten har också bedömts som så farlig av Cloudflare att alla kunder beviljas "vissa" skydd som standard.
Detta är en otroligt farlig exploatering och en som kan orsaka förödelse online. Vi kommer att hålla ett öga på vad som händer härnäst.