Ļoti nopietns defekts Apache Log4j, sauca Log4Shell, tagad ir kļuvusi par visievērojamāko drošības ievainojamību internetā šobrīd ar a smaguma pakāpe 10/10 . Log4j ir atvērtā pirmkoda Java bibliotēka kļūdu ziņojumu reģistrēšanai lietojumprogrammās, ko plaši izmanto neskaitāmi tehnoloģiju uzņēmumi.
Turpmāk lielāko tehnoloģiju uzņēmumu pakalpojumi pašlaik cieš no tā, ko drošības eksperti sauc par vienu no kritiskākajiem trūkumiem nesenajā vēsturē. Šis trūkums ļauj hakeriem neierobežoti piekļūt datorsistēmām.
Saskaņā ar Microsoft neseno ziņojumu, vismaz ducis uzbrucēju grupu jau mēģina izmantot šo trūkumu, lai nozagtu sistēmas akreditācijas datus, instalētu kriptogrāfijas ieguvējus pakļautās sistēmās, nozagtu datus un iedziļinātos apdraudētajos tīklos.
Trūkums ir tik nopietns, ka ASV valdības kiberdrošības aģentūra ir izdevusi steidzamu brīdinājumu visiem neaizsargātajiem uzņēmumiem un ieteikusi tiem nekavējoties veikt efektīvus pasākumus. Detalizēti uzziniet visu par šo nulles dienas ievainojamību — Log4j un uzziniet, kā no tās pasargāties.
Atjaunināt : Atklāta otrā Log4j ievainojamība; Izlaists ielāps
Otrdien tika atklāta otra ievainojamība, kas saistīta ar Apache Log4j. Tas notika pēc tam, kad kiberdrošības eksperti bija pavadījuši dienas, lai labotu vai mazinātu pirmo. Šīs ievainojamības oficiālais nosaukums ir CVE 2021-45046.
Aprakstā norādīts, ka labojums adresei CVE-2021-44228 programmā Apache Log4j 2.15.0 bija nepilnīgs noteiktās konfigurācijās, kas nav noklusējuma konfigurācijas. Tas varētu ļaut uzbrucējiem… izveidot ļaunprātīgus ievades datus, izmantojot JNDI uzmeklēšanas modeli, kas izraisa pakalpojuma atteikuma (DOS) uzbrukumu.
Starptautiskais drošības uzņēmums ESET iepazīstina ar karti, kurā redzams, kur notiek Log4j izmantošana.
Attēla avots: LIETAS
Labā lieta ir tāda, ka Apache jau ir izlaidusi ielāpu Log4j 2.16.0, lai novērstu un novērstu šo problēmu. Jaunākais ielāps atrisina problēmu, noņemot atbalstu ziņojumu uzmeklēšanas modeļiem un pēc noklusējuma atspējojot JNDI funkcionalitāti.
Kas ir Log4j ievainojamība?
Log4j ievainojamība, ko sauc arī par Log4Shell, ir problēma ar Logj4 Java bibliotēku, kas ļauj izmantotājiem kontrolēt un izpildīt patvaļīgu kodu un piekļūt datorsistēmai. Šīs ievainojamības oficiālais nosaukums ir CVE-2021-44228 .
Log4j ir Apache izveidota atvērtā koda Java bibliotēka, kas ir atbildīga par visu lietojumprogrammas darbību uzskaiti. Programmatūras izstrādātāji to plaši izmanto savām lietojumprogrammām. Tāpēc pat lielākie tehnoloģiju uzņēmumi, piemēram, Microsoft, Twitter un Apple, šobrīd ir pakļauti uzbrukumiem.
Kā tika atklāta vai atrasta Log4j ievainojamība?
Log4Shell (Log4j) ievainojamību pirmo reizi atklāja LunaSec pētnieki Microsoft piederošajā Minecraft. Vēlāk pētnieki saprata, ka tā nav Minecraft kļūme, un LunaSec brīdināja, ka daudzi jo daudzi pakalpojumi ir neaizsargāti pret šo izmantošanu, jo Log4j ir visuresošs.
Kopš tā laika ir saņemti daudzi ziņojumi, kas to nodēvējuši par vienu no nopietnākajiem trūkumiem pēdējā laikā un par trūkumu, kas ietekmēs internetu turpmākajos gados.
Ko var darīt Log4j ievainojamība?
Log4j ievainojamība var nodrošināt pilnīgu piekļuvi sistēmai hakeriem/uzbrucējiem/ekspluatētājiem. Viņiem vienkārši ir jāizpilda patvaļīgs kods, lai iegūtu neierobežotu piekļuvi. Šis trūkums var arī ļaut viņiem iegūt pilnīgu kontroli pār serveri, kad viņi pareizi manipulē ar sistēmu.
CVE (Common Vulnerabilities and Exposures) bibliotēkas defekta tehniskajā definīcijā teikts, ka uzbrucējs, kurš var kontrolēt žurnāla ziņojumus vai žurnāla ziņojumu parametrus, var izpildīt patvaļīgu kodu, kas ielādēts no LDAP serveriem, kad ir iespējota ziņojumu uzmeklēšanas aizstāšana.
Tāpēc internets ir ļoti modrs, jo izmantotāji nepārtraukti mēģina mērķēt uz vājām sistēmām.
Kurām ierīcēm un lietojumprogrammām draud Log4j ievainojamība?
Log4j ievainojamība ir nopietna jebkuram krāpniekam, kurā darbojas Apache Log4J versijas 2.0–2.14.1 un kuriem ir piekļuve internetam. Saskaņā ar NCSC datiem Apache Struts2, Solr, Druid, Flink un Swift ietvaros ir iekļautas mīlestības versijas (Log4j versija 2 vai Log4j2).
Tas piedāvā milzīgu skaitu pakalpojumu, tostarp pakalpojumus no tehnoloģiju gigantiem, piemēram, Apple iCloud, Microsoft Minecraft, Twitter, Steam, Tencent, Google, Amazon, CloudFare, NetEase, Webex, LinkedIn utt.
Kāpēc šī ievainojamība ir tik nopietna un ar to kritiski grūti tikt galā?
Šī ievainojamība ir tik nopietna, ka hakeri vairāk nekā 100 reižu minūtē mēģina izmantot ļoti vājās sistēmas, izmantojot Apache Log4j2. Tas miljoniem uzņēmumu pakļauj kiberzādzības riskam.
Saskaņā ar ziņojumiem tikai Indijā šī kļūda ir pakļāvusi uzlaušanas riskam 41% uzņēmumu. The Check Point Research ir paziņojis, ka tas ir atklājis vairāk nekā 846 000 uzbrukumu, izmantojot trūkumu.
Kryptos Logic, kas ir drošības firma, ir paziņojusi par to tas ir atklājis vairāk nekā 10 000 dažādu IP adrešu, kas skenē internetu, un tas ir 100 reizes vairāk nekā sistēmas, kas meklē LogShell. .
Šī ievainojamība ir tik liela, jo Apache ir visplašāk izmantotais tīmekļa serveris un Log4j ir vispopulārākā Java reģistrēšanas pakotne. Tam ir vairāk nekā 400 000 lejupielāžu tikai no tā GitHub repozitorija.
Kā būt drošībā no Log4j ievainojamības?
Saskaņā ar jaunākajiem lietotājiem, Apache novērš problēmas visiem lietotājiem Log4j 2.15.0 un jaunākās versijās, jo tie pēc noklusējuma atspējo darbību. Eksperti nepārtraukti cenšas izsvērt, kā samazināt šī apdraudējuma risku un aizsargāt sistēmas. Arī Microsoft un Cisco ir publicējuši ieteikumus par trūkumu.
LunaSec to ir minējis Minecraft jau ir paziņojis, ka lietotāji var atjaunināt spēli, lai izvairītos no problēmām. Arī citi atvērtā pirmkoda projekti, piemēram, Paper, izdod ielāpus problēmas novēršanai .
Cisco un VMware ir arī izlaiduši ielāpus saviem ietekmētajiem produktiem. Lielākā daļa lielo tehnoloģiju uzņēmumu tagad ir publiski pievērsušies šim jautājumam un piedāvājuši drošības pasākumus saviem lietotājiem, kā arī darbiniekiem. Viņiem vienkārši tie stingri jāievēro.
Ko eksperti saka par Log4j ievainojamību?
Log4j ievainojamība nedēļas nogalē ir samulsinājusi sistēmu administratorus un drošības speciālistus. Cisco un Cloudflare ir ziņojuši, ka hakeri ir izmantojuši šo kļūdu kopš šī mēneša sākuma. Tomēr skaitļi krasi palielinājās pēc Apache paziņojuma ceturtdien.
Parasti uzņēmumi šādus trūkumus risina privāti. Taču šīs ievainojamības ietekmes diapazons bija tik plašs, ka uzņēmumiem tas bija jārisina publiski. Pat ASV valdības kiberdrošības spārns izdeva nopietnu brīdinājumu.
Sestdien to sacīja ASV Kiberdrošības un infrastruktūras drošības aģentūras direktore Džena Īsterlija Šo ievainojamību jau izmanto 'pieaugošs draudu dalībnieku kopums', un šis trūkums ir viens no nopietnākajiem, ko esmu redzējis visā savā karjerā, ja ne pats nopietnākais.
To saka neatkarīgs drošības pētnieks Kriss Frohofs Gandrīz skaidrs ir tas, ka cilvēki gadiem ilgi atklās jaunas neaizsargātas programmatūras garo asti, domājot par jaunām vietām, kur ievietot ekspluatācijas virknes. Iespējams, tas ilgu laiku tiks parādīts pielāgotu uzņēmuma lietotņu novērtējumos un iespiešanās testos.
Eksperti uzskata, ka, lai gan ir svarīgi apzināties ievainojamības nenovēršamo un ilgstošo ietekmi, pirmajai prioritātei ir jābūt pēc iespējas vairāk pasākumu, lai samazinātu kaitējumu.
Tā kā uzbrucēji tagad meklēs radošākus veidus, kā atklāt un izmantot pēc iespējas vairāk sistēmu, šis biedējošais trūkums turpinās izraisīt iznīcināšanu internetā vēl gadiem ilgi!
