ช่องโหว่ด้านความปลอดภัยที่เป็นอันตรายซึ่งระบุในไลบรารีการบันทึก Log4j Java ได้เปิดเผยพื้นที่อินเทอร์เน็ตจำนวนมากแก่ผู้ไม่ประสงค์ดี
ซีโร่เดย์ การหาประโยชน์นั้นเลวร้ายพอ ๆ กับที่ได้รับ โดยเฉพาะอย่างยิ่งเมื่อมีการระบุในซอฟต์แวร์ว่าแพร่หลายเหมือนกับไลบรารีการบันทึก Log4j ของ Apache มีการแชร์ช่องโหว่ที่พิสูจน์แนวคิดได้ทางออนไลน์ ซึ่งทำให้ทุกคนมีโอกาสถูกโจมตีจากระยะไกล (RCE) และส่งผลกระทบต่อบริการที่ใหญ่ที่สุดบางส่วนบนเว็บ การหาประโยชน์ดังกล่าวได้รับการระบุว่า "ถูกเอารัดเอาเปรียบอย่างแข็งขัน" และเป็นหนึ่งในการหาประโยชน์ที่อันตรายที่สุดที่ได้รับการเปิดเผยต่อสาธารณะในช่วงไม่กี่ปีที่ผ่านมา
Log4j เป็นแพ็คเกจการบันทึกบน Java ยอดนิยมที่พัฒนาโดย Apache Software Foundation และ CVE-2021-44228 มีผลกับ Log4j ทุกเวอร์ชันระหว่างเวอร์ชัน 2.0-beta-9 และเวอร์ชัน 2.14.1 มันถูกแพตช์ในไลบรารีเวอร์ชันล่าสุด เวอร์ชัน 2.15.0เปิดตัวเมื่อไม่กี่วันที่ผ่านมา บริการและแอปพลิเคชันจำนวนมากอาศัย Log4j รวมถึงเกมเช่น Minecraft ที่ถูกค้นพบช่องโหว่ครั้งแรก บริการคลาวด์เช่น Steam และ Apple iCloud ก็พบว่ามีช่องโหว่เช่นกัน และมีแนวโน้มว่าใครก็ตามที่ใช้ Apache Struts ก็มีความเสี่ยงเช่นกัน แม้แต่การเปลี่ยนชื่อ iPhone ก็แสดงให้เห็นว่าทำให้เกิดช่องโหว่บนเซิร์ฟเวอร์ของ Apple
ช่องโหว่นี้ก็คือ ค้นพบ โดย Chen Zhaojun จากทีมรักษาความปลอดภัยของ Alibaba Cloud บริการใด ๆ ที่บันทึกสตริงที่ผู้ใช้ควบคุมมีความเสี่ยงที่จะถูกโจมตี การบันทึกสตริงที่ควบคุมโดยผู้ใช้เป็นแนวทางปฏิบัติทั่วไปของผู้ดูแลระบบเพื่อระบุการละเมิดแพลตฟอร์มที่อาจเกิดขึ้น แม้ว่าสิ่งเหล่านั้น สตริงควรได้รับการ "ฆ่าเชื้อ" - กระบวนการทำความสะอาดอินพุตของผู้ใช้เพื่อให้แน่ใจว่าไม่มีสิ่งใดที่เป็นอันตรายต่อซอฟต์แวร์ ส่ง.
Log4Shell แข่งขันกับ Heartbleed ในเรื่องความรุนแรง
การหาประโยชน์ดังกล่าวได้รับการขนานนามว่า "Log4Shell" เนื่องจากเป็นช่องโหว่ RCE ที่ไม่ได้รับการรับรองความถูกต้อง ซึ่งช่วยให้สามารถครอบครองระบบทั้งหมดได้ มีแล้วก การแสวงหาผลประโยชน์แบบพิสูจน์แนวคิดทางออนไลน์และเป็นเรื่องง่ายมากที่จะแสดงให้เห็นว่ามันทำงานผ่านการใช้ซอฟต์แวร์บันทึก DNS หากคุณจำ. เลือดหัวใจ ช่องโหว่เมื่อหลายปีก่อน Log4Shell มอบความคุ้มค่าให้กับมันอย่างแน่นอนเมื่อพูดถึงเรื่องความรุนแรง
“เช่นเดียวกับช่องโหว่ที่มีชื่อเสียงอื่นๆ เช่น Heartbleed และ Shellshock เราเชื่อเช่นนั้น จะเป็นผลิตภัณฑ์ที่มีช่องโหว่จำนวนมากขึ้นซึ่งจะถูกค้นพบในอีกไม่กี่สัปดาห์ข้างหน้า" Randori Attack ทีม กล่าวในบล็อกของพวกเขา วันนี้. “เนื่องจากความง่ายในการใช้ประโยชน์และการบังคับใช้ที่หลากหลาย เราจึงสงสัยว่าผู้ดำเนินการแรนซัมแวร์จะเริ่มใช้ประโยชน์จากช่องโหว่นี้ทันที” พวกเขากล่าวเสริม ผู้ประสงค์ร้ายกำลังสแกนเว็บจำนวนมากเพื่อพยายามค้นหาเซิร์ฟเวอร์ที่จะแสวงหาประโยชน์ (ผ่าน คอมพิวเตอร์ส่งเสียงบี๊บ).
“บริการจำนวนมากจำนวนมากมีความเสี่ยงต่อการถูกโจมตีนี้ บริการคลาวด์เช่น Steam, Apple iCloud และแอปอย่าง Minecraft ถูกพบว่ามีช่องโหว่อยู่แล้ว" LunaSec เขียน. “ใครก็ตามที่ใช้ Apache Struts มีแนวโน้มว่าจะมีความเสี่ยง เราเคยเห็นช่องโหว่ที่คล้ายกันที่ถูกนำไปใช้ประโยชน์มาก่อนในการละเมิดเช่นการละเมิดข้อมูล Equifax ในปี 2560” LunaSec ยังกล่าวอีกว่าเวอร์ชัน Java มากกว่า 6u211, 7u201, 8u191 และ 11.0.1 จะได้รับผลกระทบน้อยกว่าในทางทฤษฎี แม้ว่าแฮกเกอร์อาจยังสามารถแก้ไข ข้อจำกัด
ช่องโหว่นี้สามารถถูกกระตุ้นได้จากบางสิ่งที่ธรรมดาเหมือนกับชื่อของ iPhone ซึ่งแสดงให้เห็นว่า Log4j มีอยู่ทั่วไปทุกหนทุกแห่ง หากคลาส Java ถูกต่อท้าย URL คลาสนั้นจะถูกฉีดเข้าไปในกระบวนการเซิร์ฟเวอร์ ผู้ดูแลระบบที่มี Log4j เวอร์ชันล่าสุดสามารถรัน JVM ด้วยอาร์กิวเมนต์ต่อไปนี้เพื่อป้องกันช่องโหว่จากการถูกโจมตี ตราบใดที่ พวกเขาอยู่บน Log4j 2.10 เป็นอย่างน้อย.
-Dlog4j2.formatMsgNoLookups=trueCERT NZ (ทีมตอบสนองเหตุฉุกเฉินทางคอมพิวเตอร์ระดับชาติของนิวซีแลนด์) ได้ออกคำเตือนที่ปรึกษาด้านความปลอดภัยของ การแสวงหาผลประโยชน์อย่างแข็งขันในป่าและนี่ก็ได้รับการยืนยันจาก ผู้อำนวยการฝ่ายวิศวกรรมแนวร่วม - ฝ่ายรักษาความปลอดภัย Tiago Henriques และ ผู้เชี่ยวชาญด้านความปลอดภัย เควิน โบมอนต์. Cloudflare ถือว่าช่องโหว่นี้เป็นอันตรายมากจนลูกค้าทุกคนได้รับการปกป้อง "บางส่วน" ตามค่าเริ่มต้น
นี่เป็นการหาประโยชน์ที่อันตรายอย่างเหลือเชื่อและเป็นสิ่งที่สามารถสร้างความเสียหายทางออนไลน์ได้ เราจะจับตาดูสิ่งที่เกิดขึ้นต่อไปอย่างใกล้ชิด