Log4j Java günlük kitaplığında tanımlanan tehlikeli bir güvenlik açığı, internetin büyük bir bölümünü kötü niyetli aktörlerin eline geçirdi.
Sıfır gün Açıklardan yararlanmalar, özellikle Apache'nin Log4j günlük kitaplığı gibi her yerde bulunan yazılımlarda tanımlandıkları zaman, olabildiğince kötüdür. Herkesi olası uzaktan kod yürütme (RCE) saldırılarına maruz bırakan bir kavram kanıtı istismarı çevrimiçi olarak paylaşıldı ve bu durum, web üzerindeki en büyük hizmetlerden bazılarını etkiledi. Bu açık, "aktif olarak istismar ediliyor" olarak tanımlandı ve son yıllarda kamuoyuna açıklanan en tehlikeli istismarlardan biri.
Log4j, Apache Software Foundation tarafından geliştirilen popüler bir Java tabanlı günlük kaydı paketidir ve CVE-2021-44228 Log4j'nin 2.0-beta-9 ile 2.14.1 sürümü arasındaki tüm sürümlerini etkiler. Kütüphanenin en son sürümünde yama uygulandı, sürüm 2.15.0, birkaç gün önce yayınlandı. Güvenlik açığının ilk keşfedildiği Minecraft gibi oyunlar da dahil olmak üzere pek çok hizmet ve uygulama Log4j'e güveniyor. Steam ve Apple iCloud gibi bulut hizmetlerinin de savunmasız olduğu tespit edildi ve muhtemelen Apache Struts kullanan herkesin de savunmasız olması muhtemeldir. Bir iPhone'un adını değiştirmenin bile Apple'ın sunucularındaki güvenlik açığını tetiklediği görüldü.
Bu güvenlik açığı keşfetti Alibaba Bulut Güvenlik Ekibinden Chen Zhaojun tarafından. Kullanıcı tarafından kontrol edilen dizeleri günlüğe kaydeden herhangi bir hizmet, bu istismara karşı savunmasızdı. Kullanıcı tarafından kontrol edilen dizelerin günlüğe kaydedilmesi, potansiyel platform kötüye kullanımlarını tespit etmek amacıyla sistem yöneticileri tarafından yaygın bir uygulamadır. dizeler daha sonra "sterilize edilmelidir" - kullanılan yazılıma zararlı hiçbir şey olmadığından emin olmak için kullanıcı girişinin temizlenmesi işlemi gönderilen.
Log4Shell ciddiyet açısından Heartbleed'e rakip oluyor
Bu istismara "Log4Shell" adı verildi çünkü bu, tüm sistemin ele geçirilmesine izin veren, kimliği doğrulanmamış bir RCE güvenlik açığıdır. Zaten bir tane var çevrimiçi kavram kanıtı istismarıve DNS kayıt yazılımı kullanılarak çalıştığını göstermek gülünç derecede kolaydır. Eğer hatırlıyorsan Kalp kanaması Log4Shell, birkaç yıl önceki güvenlik açığına rağmen, ciddiyet söz konusu olduğunda kesinlikle parasının karşılığını veriyor.
"Heartbleed ve Shellshock gibi diğer yüksek profilli güvenlik açıklarına benzer şekilde, orada olduğuna inanıyoruz Randori Saldırısı, önümüzdeki haftalarda artan sayıda savunmasız ürün keşfedilecek" dedi. Takım bloglarında söyledi Bugün. "Kullanım kolaylığı ve uygulanabilirliğin genişliği nedeniyle, fidye yazılımı aktörlerinin bu güvenlik açığından hemen yararlanmaya başlayacağından şüpheleniyoruz" diye eklediler. Kötü niyetli aktörler, istismar edilecek sunucuları bulmak için halihazırda web'i toplu olarak tarıyor (üzerinden Bip sesi çıkaran bilgisayar).
"Pek çok hizmet bu istismara karşı savunmasız. LunaSec, Steam, Apple iCloud gibi bulut hizmetlerinin ve Minecraft gibi uygulamaların zaten savunmasız olduğu tespit edildi. yazdı. "Apache Struts kullanan herkes muhtemelen savunmasızdır. 2017 Equifax veri ihlali gibi ihlallerde daha önce de benzer güvenlik açıklarından yararlanıldığını görmüştük." LunaSec ayrıca Java sürümlerinin de 6u211, 7u201, 8u191 ve 11.0.1'den büyük sürümler teoride daha az etkilenir, ancak bilgisayar korsanları yine de bu soruna çözüm bulabilirler sınırlamalar.
Güvenlik açığı, iPhone'un adı gibi sıradan bir şey tarafından tetiklenebilir ve Log4j'nin gerçekten her yerde olduğunu gösterir. URL'nin sonuna bir Java sınıfı eklenirse, bu sınıf sunucu işlemine eklenecektir. Log4j'nin son sürümlerine sahip sistem yöneticileri, güvenlik açığından yararlanılmasını önlemek için JVM'lerini aşağıdaki argümanla çalıştırabilirler. en azından Log4j 2.10'dalar.
-Dlog4j2.formatMsgNoLookups=trueCERT NZ (Yeni Zelanda'nın ulusal Bilgisayar Acil Durum Müdahale Ekibi), şu konularda bir güvenlik tavsiyesi uyarısı yayınladı: vahşi doğada aktif sömürüve bu aynı zamanda tarafından da doğrulandı. Koalisyon Mühendislik Direktörü - Güvenlik Tiago Henriques Ve güvenlik uzmanı Kevin Beaumont. Güvenlik açığı ayrıca Cloudflare tarafından o kadar tehlikeli görüldü ki tüm müşterilere varsayılan olarak "bir miktar" koruma verildi.
Bu inanılmaz derecede tehlikeli bir istismardır ve çevrimiçi ortamda hasara yol açabilir. Bundan sonra olacakları yakından takip edeceğiz.