Небезпечна вразливість безпеки «Log4j» впливає на все, від Apple до Minecraft

Небезпечна вразливість системи безпеки, виявлена ​​в бібліотеці журналів Log4j Java, відкрила величезні простори Інтернету для зловмисників.

Нульовий день Експлойти настільки ж погані, як це можливо, особливо коли вони ідентифікуються в програмному забезпеченні, яке є таким повсюдним, як бібліотека журналювання Apache Log4j. Експлойт для підтвердження концепції був опублікований в Інтернеті, який наражає всіх на потенційні атаки віддаленого виконання коду (RCE), і це вплинуло на деякі з найбільших служб в Інтернеті. Цей експлойт було визначено як «активно використовуваний» і є одним із найнебезпечніших експлойтів, оприлюднених за останні роки.

Log4j — популярний пакет журналювання на основі Java, розроблений Apache Software Foundation CVE-2021-44228 впливає на всі версії Log4j від версії 2.0-beta-9 до версії 2.14.1. Його було виправлено в останній версії бібліотеки, версія 2.15.0, випущений кілька днів тому. Багато служб і додатків покладаються на Log4j, включаючи такі ігри, як Minecraft, де вразливість була вперше виявлена. Хмарні сервіси, такі як Steam і Apple iCloud, також виявилися вразливими, і, ймовірно, кожен, хто використовує Apache Struts, також. Було показано, що навіть зміна назви iPhone викликає вразливість на серверах Apple.

Ця вразливість була виявлено Чен Чжаоцзюнь з команди хмарної безпеки Alibaba. Будь-яка служба, яка реєструє контрольовані користувачем рядки, була вразливою до експлойту. Реєстрація контрольованих користувачем рядків є звичайною практикою системних адміністраторів, щоб виявити потенційне зловживання платформою, хоча ті потім рядки повинні бути «продезінфіковані» — процес очищення введення користувача, щоб переконатися, що немає нічого шкідливого для програмного забезпечення подано.

Log4Shell конкурує з Heartbleed за своєю серйозністю

Експлойт отримав назву «Log4Shell», оскільки це неавтентифікована вразливість RCE, яка дозволяє повністю захопити систему. Вже є proof-of-concept exploit онлайн, і неймовірно легко продемонструвати, що він працює за допомогою програмного забезпечення для реєстрації DNS. Якщо ви пам'ятаєте Heartbleed Уразливість, створена кілька років тому, Log4Shell, безумовно, дає їй шанс, коли справа доходить до серйозності.

«Як і в інших відомих уразливостях, таких як Heartbleed і Shellshock, ми вважаємо, що буде зростаюча кількість вразливих продуктів, виявлених у найближчі тижні", - Атака Randori команда сказали у своєму блозі сьогодні. «Завдяки простоті використання та широті застосовності ми підозрюємо, що учасники програм-вимагачів негайно почнуть використовувати цю вразливість», — додали вони. Зловмисники вже масово сканують Інтернет, щоб спробувати знайти сервери для використання (через Блеючий комп'ютер).

«Багато, багато сервісів уразливі до цього експлойту. Хмарні сервіси, такі як Steam, Apple iCloud і додатки, такі як Minecraft, вже були визнані вразливими», - LunaSec. написав. «Будь-хто, хто використовує Apache Struts, швидше за все, вразливий. Ми вже бачили, як подібні вразливості використовувалися раніше під час зламів, таких як витік даних Equifax у 2017 році». LunaSec також повідомила, що версії Java версії вище 6u211, 7u201, 8u191 і 11.0.1 менш впливають теоретично, хоча хакери все ще можуть обійти обмеження.

Уразливість може бути викликана чимось таким буденним, як назва iPhone, демонструючи, що Log4j справді всюди. Якщо клас Java додається в кінці URL-адреси, цей клас буде впроваджено в процес сервера. Системні адміністратори з останніми версіями Log4j можуть запустити свою JVM з таким аргументом, щоб також запобігти використанню вразливості, якщо вони принаймні на Log4j 2.10.

-Dlog4j2.formatMsgNoLookups=true

CERT NZ (Національна група реагування на комп’ютерні надзвичайні ситуації Нової Зеландії) випустила попередження щодо безпеки щодо активна експлуатація в дикій природі, і це також було підтверджено Коаліційний директор з інженерних питань – безпеки Тіаго Енрікес і експерт з безпеки Кевін Бомонт. Cloudflare також визнала вразливість настільки небезпечною, що всім клієнтам за замовчуванням надається «деякий» захист.

Це неймовірно небезпечний експлойт, який може спричинити хаос в Інтернеті. Ми будемо уважно стежити за тим, що станеться далі.