Zelo huda napaka Apache Log4j, poklical Log4Shell, je zdaj postala najbolj odmevna varnostna ranljivost na internetu z a ocena resnosti 10/10 . Log4j je odprtokodna knjižnica Java za beleženje sporočil o napakah v aplikacijah, ki jo pogosto uporablja nešteto tehnoloških podjetij.
Od zdaj naprej storitve velikih tehnoloških podjetij trenutno trpijo zaradi tega, kar strokovnjaki za varnost imenujejo ena najbolj kritičnih pomanjkljivosti v novejši zgodovini. Ta napaka lahko hekerjem omogoči neomejen dostop do računalniških sistemov.
Po nedavnem Microsoftovem poročilu vsaj ducat skupin napadalcev že poskuša izkoristiti napako, da bi ukradli sistemske poverilnice, namestili kripto rudarje na nagnjene sisteme, ukradli podatke in kopali globlje v ogroženih omrežjih.
Napaka je tako huda, da je agencija za kibernetsko varnost vlade ZDA izdala nujno opozorilo vsem ranljivim podjetjem in predlagala, naj takoj sprejmejo učinkovite ukrepe. Izvedite vse o tej ranljivosti ničelnega dneva - Log4j in o tem, kako se lahko zaščitite pred njo.
Nadgradnja : Odkrita druga ranljivost Log4j; Izdan popravek
V torek je bila odkrita druga ranljivost, ki vključuje Apache Log4j. To se zgodi potem, ko so strokovnjaki za kibernetsko varnost porabili več dni za popravek ali ublažitev prvega. Uradno ime te ranljivosti je CVE 2021-45046.
Opis navaja, da je bil popravek za naslov CVE-2021-44228 v Apache Log4j 2.15.0 nepopoln v nekaterih neprivzetih konfiguracijah. To bi lahko napadalcem omogočilo, da ustvarijo zlonamerne vhodne podatke z uporabo vzorca iskanja JNDI, kar povzroči napad z zavrnitvijo storitve (DOS).
Mednarodno varnostno podjetje ESET predstavlja zemljevid, ki prikazuje, kje se dogaja izkoriščanje Log4j.
Vir slike: OVITEK
Dobra stvar je, da je Apache že izdal popravek, Log4j 2.16.0, ki obravnava in odpravi to težavo. Najnovejši popravek rešuje težavo tako, da odstrani podporo za vzorce iskanja sporočil in privzeto onemogoči funkcionalnost JNDI.
Kaj je ranljivost Log4j?
Ranljivost Log4j, imenovana tudi Log4Shell, je težava s knjižnico Logj4 Java, ki izkoriščevalcem omogoča nadzor in izvajanje poljubne kode ter dostop do računalniškega sistema. Uradno ime te ranljivosti je CVE-2021-44228 .
Log4j je odprtokodna knjižnica Java, ki jo je ustvaril Apache, ki je odgovorna za vodenje evidence vseh dejavnosti v aplikaciji. Razvijalci programske opreme ga pogosto uporabljajo za svoje aplikacije. Zato so tudi največja tehnološka podjetja, kot so Microsoft, Twitter in Apple, trenutno nagnjena k napadom.
Kako je bila odkrita ali najdena ranljivost Log4j?
Ranljivost Log4Shell (Log4j) so najprej odkrili raziskovalci pri LunaSec v Minecraftu, ki je v lasti Microsofta. Kasneje so raziskovalci ugotovili, da ne gre za napako Minecrafta in LunaSec je opozoril, da je veliko, veliko storitev ranljivih za ta izkoriščanje zaradi vseprisotne prisotnosti Log4j.
Od takrat so prispela številna poročila, ki ga označujejo kot eno najresnejših pomanjkljivosti v zadnjem času in napako, ki bo vplivala na internet v prihodnjih letih.
Kaj lahko naredi ranljivost Log4j?
Ranljivost Log4j lahko hekerjem/napadalcem/izkoriščevalcem omogoči popoln dostop do sistema. Preprosto morajo izvesti poljubno kodo, da pridobijo neomejen dostop. Ta napaka jim lahko omogoči tudi popoln nadzor nad strežnikom, ko pravilno manipulirajo s sistemom.
Tehnična definicija napake v knjižnici CVE (Common Vulnerabilities and Exposures) navaja, da lahko napadalec, ki lahko nadzoruje sporočila dnevnika ali parametre dnevniških sporočil, izvede poljubno kodo, naloženo s strežnikov LDAP, ko je omogočena zamenjava iskanja sporočil.
Zato je internet v visoki pripravljenosti, saj izkoriščevalci nenehno poskušajo ciljati na šibke sisteme.
Katere naprave in aplikacije so ogrožene zaradi ranljivosti Log4j?
Ranljivost Log4j je resna za vse zvijače, ki izvajajo Apache Log4J različic od 2.0 do 2.14.1 in imajo dostop do interneta. Glede na NCSC okvirji Apache Struts2, Solr, Druid, Flink in Swift vključujejo različice naklonjenosti (Log4j različica 2 ali Log4j2).
To postavlja ogromno število storitev, vključno s storitvami tehnoloških velikanov, kot so Appleov iCloud, Microsoftov Minecraft, Twitter, Steam, Tencent, Google, Amazon, CloudFare, NetEase, Webex, LinkedIn itd.
Zakaj je ta ranljivost tako huda in je kritično težko spoprijeti se z njo?
Ta ranljivost je tako huda, da hekerji poskušajo več kot 100-krat na minuto izkoristiti resno šibke sisteme z uporabo Apache Log4j2. To postavlja milijone podjetij v nevarnost kibernetske kraje.
Po poročilih je samo v Indiji ta napaka ogrozila 41 % podjetij. Raziskava Check Point je povedala, da je odkrila več kot 846.000 napadov, ki so izkoriščali napako.
Kryptos Logic, ki je varnostno podjetje, je to objavilo odkril je več kot 10.000 različnih naslovov IP, ki skenirajo internet, in to je 100-krat večja količina sistemov, ki preiskujejo LogShell .
Ta ranljivost je tako velika zaradi dejstva, da je Apache najbolj razširjen spletni strežnik, Log4j pa je najbolj priljubljen paket za beleženje Java. Ima več kot 400.000 prenosov samo iz svojega skladišča GitHub.
Kako se zaščititi pred ranljivostjo Log4j?
Po mnenju najnovejših uporabnikov Apache popravlja težave za vse na Log4j 2.15.0 in novejših, saj privzeto onemogočajo vedenje. Strokovnjaki nenehno poskušajo pretehtati, kako zmanjšati tveganje te grožnje in zaščititi sisteme. Microsoft in Cisco sta objavila tudi nasvete za napako.
LunaSec je to omenil Minecraft je že izjavil, da lahko uporabniki posodobijo igro, da se izognejo kakršnim koli težavam. Drugi odprtokodni projekti, kot je Paper, prav tako izdajajo popravke za odpravo težave .
Cisco in VMware sta izdala tudi popravke za svoje prizadete izdelke. Večina velikih tehnoloških podjetij je zdaj to vprašanje obravnavala javno in ponudila varnostne ukrepe za svoje uporabnike in zaposlene. Le dosledno jih morajo upoštevati.
Kaj strokovnjaki pravijo o ranljivosti Log4j?
Ranljivost Log4j je prek vikenda zbegala sistemske skrbnike in varnostne strokovnjake. Cisco in Cloudflare sta poročala, da hekerji to napako izkoriščajo od začetka tega meseca. Vendar so se številke drastično povečale po razkritju s strani Apache v četrtek.
Običajno se podjetja s takšnimi pomanjkljivostmi ukvarjajo zasebno. Toda obseg vpliva te ranljivosti je bil tako velik, da so se morala podjetja z njo osredotočiti javno. Celo krilo ameriške vlade za kibernetsko varnost je izdalo resno opozorilo.
Jen Easterly, direktorica ameriške agencije za kibernetsko varnost in infrastrukturno varnost, je v soboto povedala, da Ranljivost že izkorišča 'naraščajoče število akterjev groženj', ta napaka je ena najresnejših, kar sem jih videl v celotni karieri, če ne celo najresnejša.
Chris Frohoff, neodvisni raziskovalec varnosti, pravi to Skoraj gotovo je, da bodo ljudje že leta odkrivali dolg rep nove ranljive programske opreme, ko bodo razmišljali o novih mestih, kjer bi namestili nize za izkoriščanje. To se bo verjetno še dolgo pokazalo v ocenah in penetracijskih testih aplikacij za podjetja po meri.
Strokovnjaki menijo, da čeprav se je pomembno zavedati neposrednega trajnega vpliva ranljivosti, mora biti prva prednostna naloga sprejeti čim več ukrepov za zmanjšanje škode.
Ker bodo napadalci zdaj iskali bolj kreativne načine za odkrivanje in izkoriščanje čim več sistemov, bo ta strašljiva napaka še naprej povzročala uničenje po internetu v prihodnjih letih!
