BezpečnosťSpravodajstvo

Log4Shell – nová zero-day chyba v obľúbenom Java nástroji ohrozuje veľké spoločnosti aj bežných používateľov

Kritická bezpečnostná chyba v knižnici Apache Log4j môže spôsobovať problémy takmer všade, či už ide o hry, online služby alebo zariadenia.

Deň, kedy sa v éteri objaví nová zero-day bezpečnostná chyba, je pre výskumníkov v oblasti kybernetickej bezpečnosti nočnou morou. Vrásky na čele následne takáto chyba robí aj programátorom, ktorí musia takúto zraniteľnosť odstrániť v čo najkratšom možnom čase. Situácia je však ešte viac napätá v momente, keď sa v éteri objaví priamo proof-of-concept exploit takejto zraniteľnosti. Pre zabezpečenie dotknutých systémov to tak znamená čo najvyššie nasadenie, keďže softvérová chyba môže spôsobiť problémy takmer okamžite. Väčšinou sa však s takýmito náhlymi bezpečnostnými rizikami v praxi nestretávame, no raz za čas sa jednoducho nejaký podobný problém objaví.

Kritická chyba v široko využívanom logovacom rámci pre Javu

Čo by čert nechcel, ku náhlemu objaveniu takejto chyby došlo iba pred pár dňami. Reč je o chybe označenej ako Log4Shell, ktorá využíva zraniteľnosti v populárnom logovacom aplikačnom rámci Log4j pre Javu, informoval portál BleepingComputer. Správa o objavení kritickej zero-day zraniteľnosti je zlá už sama o sebe. Situácia je však horšia v momente, keď si uvedomíme rozsah využívania vyššie spomínaného logovacieho nástroja.

Odoberajte Vosveteit.sk cez Telegram a prihláste sa k odberu správ
log4j log4shell kriticka bezpecnostna zero day chyba
Zdroj: Wikipedia

I keď o logovacom nástroji pre Javu Log4j zrejme väčšina bežných ľudí nepočula, v praxi ide o jeden z najpoužívanejších a najobľúbenejších nástrojov. Ide o nástroj vyvinutý nadáciou Apache Foundation, ktorý využíva obrovské množstvo podnikov vo svojich aplikáciách či cloudové služby. Pokiaľ si neviete predstaviť, o aké služby by mohlo ísť, nasledujúci zoznam vám zrejme pomôže pre vytvorenie detailnejšej predstavy. Spoločnosti ako Amazon, Apple, Cloudflare alebo služby ako Twitter a Steam určite dobre poznáte. Práve produkty a webové aplikácie týchto spoločností môžu byť na danou kritickou chybou zneužité a napadnuté.

Samotná chyba nesúca označenie Log4Shell je sledovaná pod kódom CVE-2021-44228. Ide o neoverenú RCE (remote code execution) zraniteľnosť, ktorú objavil bezpečnostný výskumník Chen Zhaojun z Alibaba Cloud Security Team. Túto zero-day kritickú zraniteľnosť nájdeme vo verziách Log4j od 2.0-beta-9 až po verziu 2.14.1. Medzičasom bola vydaná aj aktualizovaná verzia knižnice vo verzii 2.15.0. Jej adaptácia naprieč silno využívanými systémami, aplikáciami a webovými službami však môže potrvať istú dobu.

Hackeri začali s masívnym skenovaním potencionálnych cieľov

Veľmi zlou správou pre služby využívajúce Log4j je, že na populárnom programátorskom fóre GitHub bol iba pred pár dňami zverejnený aj proof-of-concept tejto zraniteľnosti. Hackeri tak okamžite začali s vyhľadávaním potencionálne napadnuteľných cieľov a so spustením zraniteľnosti nemali príliš veľa práce. Samotný proof-of-concept dokázal, že napadnutie ohrozneých systémov je pomerne jednoduché a môže ho vyvolať už iba maličkosť ako zmena názvu zariadenia iPhone.

Očakáva sa rastúci počet zneužití

Bezpečnostní výskumníci varujú, že počet zraniteľných produktov bude v nasledujúcich dňoch narastať. V najbližšej dobe sa očakáva aj využívanie zraniteľnosti hackermi používajúcimi ransomvér, ktorý je stále populárnym nástrojom útočníkov. Momentálne však jedinou prevenciou zostáva rýchla implementácia najnovšej aktualizácie, prípadne úprava samotnej knižnice v prípade starších verzií.

Prihláste sa k odberu správ z Vosveteit.sk cez Google správy
Tagy
Zobraziť komentáre
Close
Close