Nagyon súlyos hiba Apache Log4j, hívott Log4Shell, mára az internet legnagyobb horderejű biztonsági résévé vált a súlyossági pontszám 10/10 . A Log4j egy nyílt forráskódú Java könyvtár az alkalmazások hibaüzeneteinek naplózására, amelyet számtalan technológiai cég széles körben használ.
Ezentúl a nagy technológiai cégek szolgáltatásai jelenleg a biztonsági szakértők szerint a közelmúlt egyik legkritikusabb hibájától szenvednek. Ez a hiba lehetővé teszi a hackerek számára a korlátlan hozzáférést a számítógépes rendszerekhez.
A Microsoft legutóbbi jelentése szerint a támadók legalább egy tucat csoportja próbálja már kihasználni a hibát, hogy ellopják a rendszer hitelesítő adatait, kriptobányászokat telepítsenek a hajlamos rendszerekre, adatokat lopjanak el, és mélyebbre áshassanak a feltört hálózatokon.
A hiba olyan súlyos, hogy az Egyesült Államok kormányának kiberbiztonsági ügynöksége sürgős figyelmeztetést adott ki az összes veszélyeztetett vállalatnak, és azt javasolta, hogy azonnal tegyenek hatékony lépéseket. Tudjon meg mindent részletesen erről a nulladik napi sebezhetőségről – a Log4j-ről, és arról, hogyan maradhat biztonságban tőle.
Frissítés : Második Log4j sebezhetőség felfedezve; Patch Megjelent
Kedden egy második, az Apache Log4j-t érintő biztonsági rést fedeztek fel. Ez azután történt, hogy a kiberbiztonsági szakértők napokat töltöttek az első javítással vagy enyhítéssel. A biztonsági rés hivatalos neve CVE 2021-45046.
A leírás szerint az Apache Log4j 2.15.0 CVE-2021-44228 címének javítása bizonyos nem alapértelmezett konfigurációkban hiányos volt. Ez lehetővé teheti a támadók számára, hogy rosszindulatú bemeneti adatokat hozzanak létre egy JNDI Lookup minta segítségével, ami szolgáltatásmegtagadási (DOS) támadást eredményez.
Az ESET nemzetközi biztonsági cég bemutat egy térképet, amelyen látható, hol történik a Log4j kiaknázása.
Kép forrása: ESET
A jó dolog az, hogy az Apache már kiadott egy javítást, a Log4j 2.16.0-t a probléma megoldására és kijavítására. A legújabb javítás úgy oldja meg a problémát, hogy megszünteti az üzenetkeresési minták támogatását, és alapértelmezés szerint letiltja a JNDI funkciót.
Mi az a Log4j sebezhetőség?
A Log4j biztonsági rés, amelyet Log4Shellnek is neveznek, a Logj4 Java könyvtár problémája, amely lehetővé teszi a kihasználók számára tetszőleges kód vezérlését és futtatását, valamint hozzáférést biztosít egy számítógépes rendszerhez. Ennek a sérülékenységnek a hivatalos neve CVE-2021-44228 .
A Log4j egy nyílt forráskódú Java-könyvtár, amelyet az Apache hozott létre, és amely az alkalmazásokban végzett összes tevékenység nyilvántartásáért felelős. A szoftverfejlesztők széles körben használják alkalmazásaikhoz. Ezért jelenleg még a legnagyobb technológiai cégek, például a Microsoft, a Twitter és az Apple is hajlamosak a támadásokra.
Hogyan fedezték fel vagy találták meg a Log4j sebezhetőségét?
A Log4Shell (Log4j) biztonsági rését először a LunaSec kutatói fedezték fel a Microsoft tulajdonában lévő Minecraftban. Később a kutatók rájöttek, hogy ez nem Minecraft-hiba, és a LunaSec arra figyelmeztetett, hogy a Log4j mindenütt jelenléte miatt sok-sok szolgáltatás ki van téve ennek a visszaélésnek.
Azóta sok olyan jelentés érkezett, amelyek az utóbbi idők egyik legsúlyosabb hibájának titulálják, és olyan hibának, amely még évekig érinteni fogja az internetet.
Mit tehet a Log4j sebezhetősége?
A Log4j biztonsági rése teljes hozzáférést biztosít a rendszerhez a hackerek/támadók/kihasználók számára. Egyszerűen tetszőleges kódot kell végrehajtaniuk a korlátlan hozzáféréshez. Ez a hiba azt is lehetővé teheti számukra, hogy teljes irányítást szerezzenek a szerver felett, amikor megfelelően kezelik a rendszert.
A CVE (Common Vulnerabilities and Exposures) könyvtár hibájának műszaki definíciója szerint a naplóüzeneteket vagy naplóüzenet-paramétereket vezérelni tudó támadó tetszőleges kódot hajthat végre az LDAP-kiszolgálókról, ha az üzenetkeresési helyettesítés engedélyezett.
Ezért az Internet fokozott éberségben van, mivel a kizsákmányolók folyamatosan próbálják megcélozni a gyenge rendszereket.
Mely eszközöket és alkalmazásokat fenyegeti a Log4j sebezhetősége?
A Log4j sebezhetősége komoly minden olyan félrevezető számára, amelyik az Apache Log4J 2.0–2.14.1-es verzióját futtatja, és hozzáféréssel rendelkezik az internethez. Az NCSC szerint az Apache Struts2, Solr, Druid, Flink és Swift keretrendszerek tartalmazzák az érzelmi verziókat (Log4j 2. verzió vagy Log4j2).
Ez rengeteg szolgáltatást tesz lehetővé, beleértve a technológiai óriások szolgáltatásait, mint például az Apple iCloud, a Microsoft Minecraft, Twitter, Steam, Tencent, Google, Amazon, CloudFare, NetEase, Webex, LinkedIn stb.
Miért olyan súlyos ez a sebezhetőség, és miért olyan nehéz kezelni?
Ez a sérülékenység olyan súlyos, hogy a hackerek percenként több mint 100-szor próbálják meg kihasználni a súlyosan gyenge rendszereket az Apache Log4j2 segítségével. Ez cégek millióit fenyegeti a számítógépes lopás veszélyével.
A jelentések szerint csak Indiában ez a hiba a vállalatok 41%-át tette ki a feltörés veszélyének. A Check Point Research azt mondta, hogy több mint 846 000 támadást észlelt, amelyek a hibát kihasználták.
Ezt jelentette be a Kryptos Logic, amely egy biztonsági cég több mint 10 000 különböző IP-címet fedezett fel az internetet vizsgálva, és ez 100-szor annyi, mint amennyi rendszerek keresik a LogShellt. .
Ez a sérülékenység annak köszönhető, hogy az Apache a legszélesebb körben használt webszerver, a Log4j pedig a legnépszerűbb Java naplózási csomag. Több mint 400 000 letöltése van csak a GitHub tárolójából.
Hogyan maradhat biztonságban a Log4j sebezhetősége ellen?
A legújabb felhasználók szerint az Apache mindenkinél javítja a problémákat a Log4j 2.15.0 és újabb verzióiban, mivel alapértelmezés szerint letiltják a viselkedést. A szakértők folyamatosan próbálják mérlegelni, hogyan lehet minimalizálni ennek a veszélynek a kockázatát és megvédeni a rendszereket. A Microsoft és a Cisco is közzétett a hibára vonatkozó tanácsokat.
A LunaSec említette ezt A Minecraft már kijelentette, hogy a felhasználók frissíthetik a játékot a problémák elkerülése érdekében. Más nyílt forráskódú projektek, mint például a Paper, szintén javításokat adnak ki a probléma megoldására .
A Cisco és a VMware javításokat is kiadott az érintett termékeikhez. A legtöbb nagy technológiai vállalat most már nyilvánosan foglalkozott a témával, és biztonsági intézkedéseket ajánlott fel felhasználóik és alkalmazottai számára. Csak szigorúan be kell tartaniuk őket.
Mit mondanak a szakértők a Log4j sebezhetőségéről?
A Log4j sérülékenysége miatt a rendszergazdák és a biztonsági szakemberek zavarba jöttek a hétvégén. A Cisco és a Cloudflare arról számolt be, hogy a hackerek e hónap eleje óta használják ki ezt a hibát. A számok azonban drasztikusan megnövekedtek az Apache csütörtöki közzététele után.
Általában a cégek magántulajdonban kezelik az ilyen hibákat. Ennek a sérülékenységnek a hatása azonban olyan széles volt, hogy a vállalatoknak nyilvánosan kellett foglalkozniuk vele. Még az Egyesült Államok kormányának kiberbiztonsági szárnya is komoly figyelmeztetést adott ki.
Ezt szombaton Jen Easterly, az Egyesült Államok Kiberbiztonsági és Infrastruktúrabiztonsági Ügynökségének igazgatója mondta A sebezhetőséget már „a fenyegető szereplők növekvő csoportja” használja, ez a hiba az egyik legsúlyosabb, ha nem a legsúlyosabb, amit egész pályafutásom során láttam.
Chris Frohoff, egy független biztonsági kutató ezt mondja Szinte biztosra vehető, hogy az emberek éveken át felfedezik az új, sebezhető szoftverek hosszú farkát, miközben új helyekre gondolnak, ahol kizsákmányoló karakterláncokat helyezhetnek el. Ez valószínűleg hosszú ideig megjelenik az egyéni vállalati alkalmazások értékeléseiben és penetrációs tesztjeiben.
A szakértők úgy vélik, hogy bár fontos tisztában lenni a sebezhetőség küszöbön álló, tartós hatásával, az elsődleges prioritás az kell, hogy legyen, hogy a lehető legtöbb intézkedést megtegyük a károk csökkentése érdekében.
Mivel a támadók most kreatívabb módszereket keresnek a lehető legtöbb rendszer felfedezésére és kihasználására, ez az ijesztő hiba még évekig pusztítást fog okozni az interneten!
