Väga tõsine viga Apache Log4j, helistas Log4Shell, on nüüdseks saanud Internetis praegu kõige kõrgema profiiliga turvahaavatavus koos a raskusaste 10/10 . Log4j on avatud lähtekoodiga Java-teek rakenduste veateadete logimiseks, mida kasutavad laialdaselt lugematud tehnoloogiaettevõtted.
Edaspidi kannatavad suurte tehnoloogiaettevõtete teenused praegu selle all, mida turvaeksperdid nimetavad üheks lähiajaloo kriitilisemaks veaks. See viga võimaldab häkkeritel piiramatut juurdepääsu arvutisüsteemidele.
Microsofti hiljutise raporti kohaselt üritavad vähemalt kümmekond ründajate rühma juba viga ära kasutada, et varastada süsteemi mandaate, installida krüptokaevureid ohtlikesse süsteemidesse, varastada andmeid ja kaevata ohustatud võrkudes sügavamale.
Viga on nii tõsine, et USA valitsuse küberjulgeolekuagentuur on kõigile haavatavatele ettevõtetele kiireloomulise hoiatuse andnud ja soovitanud neil kohe tõhusaid samme astuda. Uurige üksikasjalikult kõike selle nullpäeva haavatavuse – Log4j kohta ja kuidas saate selle eest kaitsta.
Värskenda : avastati teine Log4j haavatavus; Plaaster välja antud
Teisipäeval avastati teine haavatavus, mis hõlmas Apache Log4j-d. See juhtub pärast seda, kui küberjulgeolekueksperdid olid kulutanud päevi esimese parandamiseks või leevendamiseks. Selle haavatavuse ametlik nimi on CVE 2021-45046.
Kirjelduses öeldakse, et Apache Log4j 2.15.0 aadressi CVE-2021-44228 parandus oli teatud mittevaikekonfiguratsioonides täielik. See võib võimaldada ründajatel… luua pahatahtlikke sisendandmeid, kasutades JNDI otsingumustrit, mille tulemuseks on teenuse keelamise (DOS) rünnak
Rahvusvaheline turvaettevõte ESET esitleb kaarti, mis näitab, kus Log4j kasutamine toimub.
Pildi allikas: JUHTUM
Hea on see, et Apache on selle probleemi lahendamiseks ja parandamiseks juba välja andnud paiga Log4j 2.16.0. Uusim plaaster lahendab probleemi, eemaldades sõnumiotsingu mustrite toe ja keelates vaikimisi JNDI funktsiooni.
Mis on Log4j haavatavus?
Log4j haavatavus, mida nimetatakse ka Log4Shelliks, on probleem Logj4 Java teegis, mis võimaldab ekspluataatoritel juhtida ja käivitada suvalist koodi ning pääseda juurde arvutisüsteemile. Selle haavatavuse ametlik nimi on CVE-2021-44228 .
Log4j on Apache'i loodud avatud lähtekoodiga Java teek, mis vastutab kõigi rakenduse tegevuste üle arvestuse pidamise eest. Tarkvaraarendajad kasutavad seda laialdaselt oma rakenduste jaoks. Seetõttu on isegi suurimad tehnoloogiaettevõtted, nagu Microsoft, Twitter ja Apple, praegu altid rünnakutele.
Kuidas Log4j haavatavus avastati või leiti?
Log4Shelli (Log4j) haavatavuse avastasid Microsoftile kuuluvas Minecraftis LunaSeci teadlased. Hiljem mõistsid teadlased, et see ei ole Minecrafti tõrge ja LunaSec hoiatas, et paljud, paljud teenused on selle ärakasutamise suhtes haavatavad, kuna Log4j on kõikjal kohal.
Sellest ajast peale on saabunud palju aruandeid, mis nimetavad seda üheks viimase aja tõsiseimaks veaks ja veaks, mis mõjutab Internetti veel aastaid.
Mida saab Log4j haavatavus teha?
Log4j haavatavus suudab anda häkkeritele/ründajatele/kasutajatele täieliku juurdepääsu süsteemile. Piiramatu juurdepääsu saamiseks peavad nad lihtsalt käivitama suvalise koodi. See viga võib samuti võimaldada neil süsteemiga õigesti manipuleerides omandada täieliku kontrolli serveri üle.
CVE (Common Vulnerabilities and Exposures) teegi vea tehniline definitsioon ütleb, et ründaja, kes suudab juhtida logisõnumeid või logisõnumi parameetreid, võib käivitada suvalise LDAP-serveritest laaditud koodi, kui sõnumiotsingu asendamine on lubatud.
Seetõttu on Internet väga valvel, kuna ärakasutajad püüavad pidevalt nõrkade süsteemide sihikule võtta.
Milliseid seadmeid ja rakendusi ohustab Log4j haavatavus?
Log4j haavatavus on tõsine kõigi veidruste jaoks, kes käitavad Apache Log4J versioone 2.0–2.14.1 ja millel on juurdepääs Internetile. NCSC andmetel sisaldavad Apache Struts2, Solr, Druid, Flink ja Swift raamistikud kiindumuse versioone (Log4j versioon 2 või Log4j2).
See toob kaasa tohutu hulga teenuseid, sealhulgas selliste tehnoloogiahiiglaste teenuseid nagu Apple'i iCloud, Microsofti Minecraft, Twitter, Steam, Tencent, Google, Amazon, CloudFare, NetEase, Webex, LinkedIn jne.
Miks on see haavatavus nii tõsine ja sellega tegelemine kriitiliselt keeruline?
See haavatavus on nii tõsine, et häkkerid üritavad Apache Log4j2 abil tõsiselt nõrku süsteeme ära kasutada üle 100 korra minutis. See seab miljonid ettevõtted kübervarguste ohtu.
Aruannete kohaselt on ainult Indias see viga seadnud 41% ettevõtetest häkkimise ohtu. Check Point Research on öelnud, et on tuvastanud üle 846 000 rünnaku, milles seda viga kasutatakse.
Kryptos Logic, mis on turvafirma, on sellest teatanud see on avastanud enam kui 10 000 erinevat IP-aadressi, mis skaneerivad Internetti ja see on 100 korda suurem kui LogShelli otsivate süsteemide arv .
See haavatavus on nii suur, kuna Apache on kõige laialdasemalt kasutatav veebiserver ja Log4j on kõige populaarsem Java logimispakett. Sellel on ainult GitHubi hoidlast rohkem kui 400 000 allalaadimist.
Kuidas kaitsta end Log4j haavatavuse eest?
Viimaste kasutajate sõnul parandab Apache kõigi Log4j 2.15.0 ja uuemate versioonide probleeme, kuna nad keelavad vaikimisi käitumise. Eksperdid püüavad pidevalt kaaluda, kuidas selle ohu riski minimeerida ja süsteeme kaitsta. Microsoft ja Cisco on samuti avaldanud vea kohta nõuanded.
LunaSec on seda maininud Minecraft on juba teatanud, et kasutajad saavad probleemide vältimiseks mängu värskendada. Probleemi lahendamiseks väljastavad plaastreid ka teised avatud lähtekoodiga projektid, nagu Paper .
Cisco ja VMware on oma mõjutatud toodetele välja andnud ka paigad. Enamik suuri tehnoloogiaettevõtteid on nüüdseks probleemi avalikult käsitlenud ja pakkunud turvameetmeid nii oma kasutajatele kui ka töötajatele. Nad peavad lihtsalt neid rangelt järgima.
Mida eksperdid Log4j haavatavuse kohta ütlevad?
Log4j haavatavus on jätnud süsteemiadministraatorid ja turbespetsialistid nädalavahetusel segaseks. Cisco ja Cloudflare on teatanud, et häkkerid on seda viga ära kasutanud alates selle kuu algusest. Arvud kasvasid aga drastiliselt pärast Apache'i neljapäevast avalikustamist.
Tavaliselt tegelevad ettevõtted selliste vigadega eraviisiliselt. Kuid selle haavatavuse mõju ulatus nii laiaulatuslikult, et ettevõtted pidid sellega avalikult tegelema. Isegi USA valitsuse küberjulgeoleku tiib andis tõsise hoiatuse.
Seda ütles laupäeval USA küberturvalisuse ja infrastruktuuri turvaagentuuri direktor Jen Easterly Haavatavust kasutab juba „kasvav ohus osalejate hulk”, see viga on üks tõsisemaid, kui mitte kõige tõsisem, mida ma oma karjääri jooksul näinud olen.
Seda ütleb sõltumatu turvateadlane Chris Frohoff Peaaegu kindel on see, et inimesed avastavad aastaid uue haavatava tarkvara pika saba, kui nad mõtlevad uutele kohtadele, kuhu ärakasutamise stringid panna. Tõenäoliselt ilmneb see kohandatud ettevõtterakenduste hinnangutes ja läbitungimistestides pikka aega.
Eksperdid usuvad, et kuigi on oluline olla teadlik haavatavuse vältimatust püsivast mõjust, tuleb esmajärjekorras võtta võimalikult palju meetmeid kahju vähendamiseks.
Kuna ründajad otsivad nüüd loovamaid viise, kuidas võimalikult palju süsteeme avastada ja ära kasutada, põhjustab see hirmutav viga veel aastaid Internetis hävingut!
