Bardzo poważna wada w Apache Log4j, nazywa Log4Shell, stała się obecnie najbardziej znaną luką w zabezpieczeniach w Internecie dzięki wynik dotkliwości 10/10 . Log4j to biblioteka Java typu open source do rejestrowania komunikatów o błędach w aplikacjach, która jest powszechnie używana przez niezliczone firmy technologiczne.
Odtąd usługi największych firm technologicznych cierpią obecnie z powodu tego, co eksperci ds. bezpieczeństwa nazywają jedną z najbardziej krytycznych wad w najnowszej historii. Ta usterka umożliwia hakerom nieograniczony dostęp do systemów komputerowych.
Według niedawnego raportu Microsoftu, co najmniej tuzin grup atakujących już próbuje wykorzystać tę lukę w celu kradzieży danych logowania do systemu, instalowania koparek kryptowalut na podatnych systemach, kradzieży danych i kopania głębiej w zaatakowanych sieciach.
Wada jest tak poważna, że agencja bezpieczeństwa cybernetycznego rządu USA wydała pilne ostrzeżenie dla wszystkich narażonych firm i zasugerowała, aby natychmiast podjęły skuteczne kroki. Dowiedz się wszystkiego o tej luce zero-day — Log4j szczegółowo i o tym, jak możesz się przed nią zabezpieczyć.
Aktualizacja : Wykryto drugą lukę Log4j; Wydano łatkę
We wtorek wykryto drugą lukę dotyczącą Apache Log4j. Dzieje się tak po tym, jak eksperci ds. cyberbezpieczeństwa spędzili kilka dni na załataniu lub złagodzeniu pierwszego z nich. Oficjalna nazwa tej luki to CVE 2021-45046.
Opis stwierdza, że poprawka adresu CVE-2021-44228 w Apache Log4j 2.15.0 była niekompletna w niektórych konfiguracjach innych niż domyślne. Może to umożliwić atakującym… tworzenie złośliwych danych wejściowych przy użyciu wzorca wyszukiwania JNDI, co skutkuje atakiem typu „odmowa usługi” (DOS)
Międzynarodowa firma zajmująca się bezpieczeństwem ESET przedstawia mapę pokazującą, gdzie ma miejsce eksploatacja Log4j.
Źródło obrazu: OBUDOWA
Dobrą rzeczą jest to, że Apache wydał już łatkę, Log4j 2.16.0, aby rozwiązać i naprawić ten problem. Najnowsza poprawka rozwiązuje problem, usuwając obsługę wzorców wyszukiwania komunikatów i domyślnie wyłączając funkcjonalność JNDI.
Co to jest luka w zabezpieczeniach Log4j?
Luka w zabezpieczeniach Log4j, zwana również Log4Shell, to problem z biblioteką Logj4 Java, która umożliwia eksploatatorom kontrolowanie i wykonywanie dowolnego kodu oraz uzyskiwanie dostępu do systemu komputerowego. Oficjalna nazwa tej luki to CVE-2021-44228 .
Log4j to biblioteka Java o otwartym kodzie źródłowym, stworzona przez Apache, która jest odpowiedzialna za rejestrowanie wszystkich działań w aplikacji. Twórcy oprogramowania powszechnie używają go do swoich aplikacji. Dlatego nawet największe firmy technologiczne, takie jak Microsoft, Twitter i Apple, są obecnie podatne na ataki.
W jaki sposób wykryto lub znaleziono lukę w zabezpieczeniach Log4j?
Luka Log4Shell (Log4j) została po raz pierwszy odkryta przez badaczy z LunaSec w należącym do Microsoftu Minecrafcie. Później naukowcy zdali sobie sprawę, że nie jest to usterka Minecrafta, a LunaSec ostrzegł, że wiele, wiele usług jest podatnych na ten exploit ze względu na wszechobecność Log4j
Od tego czasu pojawiło się wiele doniesień, które określają go jako jedną z najpoważniejszych wad ostatnich czasów i wadę, która będzie miała wpływ na Internet przez wiele lat.
Co może zrobić luka Log4j?
Luka Log4j jest w stanie zapewnić pełny dostęp do systemu hakerom/napastnikom/eksploatatorom. Muszą po prostu wykonać dowolny kod, aby uzyskać nieograniczony dostęp. Ta usterka może również pozwolić im uzyskać pełną kontrolę nad serwerem, gdy odpowiednio manipulują systemem.
Techniczna definicja usterki w bibliotece CVE (Common Vulnerabilities and Exposures) stanowi, że osoba atakująca, która może kontrolować komunikaty w dzienniku lub parametry komunikatów dziennika, może wykonać dowolny kod ładowany z serwerów LDAP, gdy włączone jest zastępowanie wyszukiwania komunikatów.
Dlatego Internet jest w stanie wysokiej gotowości, ponieważ exploity nieustannie próbują atakować słabe systemy.
Jakie urządzenia i aplikacje są zagrożone luką w zabezpieczeniach Log4j?
Luka Log4j jest poważna dla każdego oszusta, który używa Apache Log4J w wersjach 2.0 do 2.14.1 i ma dostęp do Internetu. Według NCSC frameworki Apache Struts2, Solr, Druid, Flink i Swift zawierają wersje afektów (Log4j wersja 2 lub Log4j2).
Oznacza to ogromną liczbę usług, w tym tych od gigantów technologicznych, takich jak iCloud firmy Apple, Minecraft firmy Microsoft, Twitter, Steam, Tencent, Google, Amazon, CloudFare, NetEase, Webex, LinkedIn itp.
Dlaczego ta podatność jest tak poważna, a radzenie sobie z nią jest niezwykle trudne?
Ta luka jest tak poważna, że hakerzy próbują ponad 100 razy na minutę wykorzystać poważnie słabe systemy za pomocą Apache Log4j2. Naraża to miliony firm na niebezpieczeństwo cyberkradzieży.
Według doniesień tylko w Indiach ta usterka naraziła 41% firm na ryzyko włamań. Firma Check Point Research poinformowała, że wykryła ponad 846 000 ataków wykorzystujących tę lukę.
Kryptos Logic, firma zajmująca się bezpieczeństwem, ogłosiła, że wykrył ponad 10 000 różnych adresów IP skanujących Internet i jest to 100-krotność liczby systemów sondujących LogShell .
Ta luka jest tak potężna, że Apache jest najczęściej używanym serwerem WWW, a Log4j jest najpopularniejszym pakietem logującym Java. Ma ponad 400 000 pobrań tylko ze swojego repozytorium GitHub.
Jak zachować bezpieczeństwo przed luką Log4j?
Według ostatnich użytkowników, Apache łata problemy dla wszystkich w Log4j 2.15.0 i nowszych, ponieważ domyślnie wyłączają zachowanie. Eksperci nieustannie zastanawiają się, jak zminimalizować ryzyko tego zagrożenia i zabezpieczyć systemy. Microsoft i Cisco opublikowały również porady dotyczące luki.
LunaSec wspomniał o tym Minecraft już stwierdził, że użytkownicy mogą aktualizować grę, aby uniknąć jakichkolwiek problemów. Inne projekty open-source, takie jak Paper, również wydają łatki, aby rozwiązać ten problem .
Firmy Cisco i VMware wydały również poprawki do swoich produktów, których dotyczy problem. Większość dużych firm technologicznych zajęła się teraz tą kwestią publicznie i zaoferowała środki bezpieczeństwa swoim użytkownikom oraz pracownikom. Muszą tylko ściśle ich przestrzegać.
Co eksperci mówią o luce Log4j?
Luka Log4j sprawiła, że administratorzy systemu i specjaliści ds. bezpieczeństwa byli przez weekend oszukani. Cisco i Cloudflare poinformowały, że hakerzy wykorzystują ten błąd od początku tego miesiąca. Jednak liczby drastycznie wzrosły po ujawnieniu przez Apache w czwartek.
Zazwyczaj firmy radzą sobie z takimi wadami prywatnie. Jednak zakres wpływu tej luki był tak szeroki, że firmy musiały zająć się nią publicznie. Nawet skrzydło cyberbezpieczeństwa rządu USA wydało poważne ostrzeżenie.
W sobotę Jen Easterly, dyrektor amerykańskiej Agencji ds. Bezpieczeństwa Cyberbezpieczeństwa i Infrastruktury, powiedziała, że Luka jest już wykorzystywana przez „rosnącą grupę cyberprzestępców”, ta luka jest jedną z najpoważniejszych, jakie widziałem w całej mojej karierze, jeśli nie najpoważniejszą.
Chris Frohoff, niezależny badacz bezpieczeństwa, mówi, że Prawie pewne jest, że przez lata ludzie będą odkrywać długi ogon nowego, podatnego na ataki oprogramowania, myśląc o nowych miejscach, w których można umieścić ciągi exploitów. Będzie to prawdopodobnie widoczne w ocenach i testach penetracyjnych niestandardowych aplikacji korporacyjnych przez długi czas.
Eksperci uważają, że chociaż ważne jest, aby zdawać sobie sprawę z nieuchronnego, trwałego wpływu tej luki, pierwszym priorytetem musi być podjęcie jak największej liczby działań już teraz, aby ograniczyć szkody.
Ponieważ napastnicy będą teraz szukać bardziej kreatywnych sposobów odkrywania i wykorzystywania jak największej liczby systemów, ta przerażająca luka będzie nadal powodować zniszczenia w Internecie przez wiele lat!
