Log4Shell – nová zero-day chyba v obľúbenom Java nástroji ohrozuje veľké spoločnosti aj bežných používateľov
Kritická bezpečnostná chyba v knižnici Apache Log4j môže spôsobovať problémy takmer všade, či už ide o hry, online služby alebo zariadenia.
Deň, kedy sa v éteri objaví nová zero-day bezpečnostná chyba, je pre výskumníkov v oblasti kybernetickej bezpečnosti nočnou morou. Vrásky na čele následne takáto chyba robí aj programátorom, ktorí musia takúto zraniteľnosť odstrániť v čo najkratšom možnom čase. Situácia je však ešte viac napätá v momente, keď sa v éteri objaví priamo proof-of-concept exploit takejto zraniteľnosti. Pre zabezpečenie dotknutých systémov to tak znamená čo najvyššie nasadenie, keďže softvérová chyba môže spôsobiť problémy takmer okamžite. Väčšinou sa však s takýmito náhlymi bezpečnostnými rizikami v praxi nestretávame, no raz za čas sa jednoducho nejaký podobný problém objaví.
Kritická chyba v široko využívanom logovacom rámci pre Javu
Čo by čert nechcel, ku náhlemu objaveniu takejto chyby došlo iba pred pár dňami. Reč je o chybe označenej ako Log4Shell, ktorá využíva zraniteľnosti v populárnom logovacom aplikačnom rámci Log4j pre Javu, informoval portál BleepingComputer. Správa o objavení kritickej zero-day zraniteľnosti je zlá už sama o sebe. Situácia je však horšia v momente, keď si uvedomíme rozsah využívania vyššie spomínaného logovacieho nástroja.
I keď o logovacom nástroji pre Javu Log4j zrejme väčšina bežných ľudí nepočula, v praxi ide o jeden z najpoužívanejších a najobľúbenejších nástrojov. Ide o nástroj vyvinutý nadáciou Apache Foundation, ktorý využíva obrovské množstvo podnikov vo svojich aplikáciách či cloudové služby. Pokiaľ si neviete predstaviť, o aké služby by mohlo ísť, nasledujúci zoznam vám zrejme pomôže pre vytvorenie detailnejšej predstavy. Spoločnosti ako Amazon, Apple, Cloudflare alebo služby ako Twitter a Steam určite dobre poznáte. Práve produkty a webové aplikácie týchto spoločností môžu byť na danou kritickou chybou zneužité a napadnuté.
We’ve made the determination that #Log4J is so bad we’re going to try and roll out at least some protection for all @Cloudflare customers by default, even free customers who do not have our WAF. Working on how to do that safely now.
— Matthew Prince 🌥 (@eastdakota) December 10, 2021
Samotná chyba nesúca označenie Log4Shell je sledovaná pod kódom CVE-2021-44228. Ide o neoverenú RCE (remote code execution) zraniteľnosť, ktorú objavil bezpečnostný výskumník Chen Zhaojun z Alibaba Cloud Security Team. Túto zero-day kritickú zraniteľnosť nájdeme vo verziách Log4j od 2.0-beta-9 až po verziu 2.14.1. Medzičasom bola vydaná aj aktualizovaná verzia knižnice vo verzii 2.15.0. Jej adaptácia naprieč silno využívanými systémami, aplikáciami a webovými službami však môže potrvať istú dobu.
Neprehliadni
Mass scanning activity detected from multiple hosts checking for servers using Apache Log4j (Java logging library) vulnerable to remote code execution (https://t.co/GgksMUlf94).
Query our API for "tags=CVE-2021-44228" for source IP addresses and other IOCs. #threatintel
— Bad Packets by Okta (@bad_packets) December 10, 2021
Hackeri začali s masívnym skenovaním potencionálnych cieľov
Veľmi zlou správou pre služby využívajúce Log4j je, že na populárnom programátorskom fóre GitHub bol iba pred pár dňami zverejnený aj proof-of-concept tejto zraniteľnosti. Hackeri tak okamžite začali s vyhľadávaním potencionálne napadnuteľných cieľov a so spustením zraniteľnosti nemali príliš veľa práce. Samotný proof-of-concept dokázal, že napadnutie ohrozneých systémov je pomerne jednoduché a môže ho vyvolať už iba maličkosť ako zmena názvu zariadenia iPhone.
Očakáva sa rastúci počet zneužití
Bezpečnostní výskumníci varujú, že počet zraniteľných produktov bude v nasledujúcich dňoch narastať. V najbližšej dobe sa očakáva aj využívanie zraniteľnosti hackermi používajúcimi ransomvér, ktorý je stále populárnym nástrojom útočníkov. Momentálne však jedinou prevenciou zostáva rýchla implementácia najnovšej aktualizácie, prípadne úprava samotnej knižnice v prípade starších verzií.
Komentáre