Veľmi vážna chyba v Apache Log4j, volal Log4Shell, sa teraz stala najvýznamnejšou bezpečnostnou zraniteľnosťou na internete s a skóre závažnosti 10/10 . Log4j je open-source Java knižnica na zaznamenávanie chybových správ v aplikáciách, ktorú široko používa nespočetné množstvo technologických firiem.
Odteraz služby veľkých technologických spoločností v súčasnosti trpia tým, čo odborníci na bezpečnosť označujú za jednu z najdôležitejších chýb v nedávnej histórii. Táto chyba umožňuje hackerom neobmedzený prístup k počítačovým systémom.
Podľa nedávnej správy Microsoftu sa už najmenej tucet skupín útočníkov pokúša zneužiť túto chybu, aby ukradli systémové poverenia, nainštalovali kryptomeny na náchylné systémy, ukradli údaje a prehĺbili sa v ohrozených sieťach.
Chyba je taká závažná, že americká vládna agentúra pre kybernetickú bezpečnosť vydala naliehavé varovanie všetkým zraniteľným spoločnostiam a navrhla, aby okamžite podnikli účinné kroky. Zistite všetko o tejto zraniteľnosti Zero-day – Log4j podrobne a o tom, ako sa pred ňou môžete chrániť.
Aktualizovať : Zistila sa druhá chyba zabezpečenia Log4j; Oprava uvoľnená
V utorok bola objavená druhá zraniteľnosť zahŕňajúca Apache Log4j. Stalo sa tak po tom, čo odborníci na kybernetickú bezpečnosť strávili dni opravou alebo zmiernením prvého. Oficiálny názov tejto chyby zabezpečenia je CVE 2021-45046.
Opis uvádza, že oprava adresy CVE-2021-44228 v Apache Log4j 2.15.0 bola neúplná v určitých nepredvolených konfiguráciách. To by mohlo útočníkom umožniť... vytvárať škodlivé vstupné údaje pomocou vzoru vyhľadávania JNDI, čo vedie k útoku odmietnutia služby (DOS)
Medzinárodná bezpečnostná spoločnosť ESET predstavuje mapu, ktorá ukazuje, kde dochádza k zneužívaniu Log4j.
Zdroj obrázka: CASE
Dobrá vec je, že Apache už vydal opravu, Log4j 2.16.0, ktorá rieši a opravuje tento problém. Najnovšia oprava rieši problém odstránením podpory vzorov vyhľadávania správ a štandardným zakázaním funkcie JNDI.
Čo je zraniteľnosť Log4j?
Zraniteľnosť Log4j nazývaná aj Log4Shell je problém s knižnicou Logj4 Java, ktorá umožňuje vykorisťovateľom kontrolovať a spúšťať ľubovoľný kód a získať prístup k počítačovému systému. Oficiálny názov tejto zraniteľnosti je CVE-2021-44228 .
Log4j je open-source Java knižnica vytvorená spoločnosťou Apache, ktorá je zodpovedná za uchovávanie záznamov o všetkých aktivitách v aplikácii. Vývojári softvéru ho široko používajú pre svoje aplikácie. Preto aj tie najväčšie technologické spoločnosti ako Microsoft, Twitter a Apple sú v súčasnosti náchylné na útoky.
Ako bola objavená alebo nájdená chyba zabezpečenia Log4j?
Zraniteľnosť Log4Shell (Log4j) bola prvýkrát objavená výskumníkmi z LunaSec v Minecraft vlastnenom Microsoftom. Neskôr si výskumníci uvedomili, že nejde o chybu Minecraftu a LunaSec varoval, že veľa, veľa služieb je zraniteľných voči tomuto zneužitiu kvôli všadeprítomnej prítomnosti Log4j.
Odvtedy sa objavilo mnoho správ, ktoré ho označili za jeden z najzávažnejších nedostatkov v poslednej dobe a za chybu, ktorá ovplyvní internet v nasledujúcich rokoch.
Čo dokáže Zraniteľnosť Log4j?
Zraniteľnosť Log4j je schopná poskytnúť úplný prístup do systému hackerom/útočníkom/vykorisťovateľom. Jednoducho musia spustiť ľubovoľný kód, aby získali neobmedzený prístup. Táto chyba im môže tiež umožniť získať úplnú kontrolu nad serverom, keď správne manipulujú so systémom.
Technická definícia chyby v knižnici CVE (Common Vulnerabilities and Exposures) uvádza, že útočník, ktorý môže ovládať protokolové správy alebo parametre protokolových správ, môže spustiť ľubovoľný kód načítaný zo serverov LDAP, keď je povolené nahrádzanie vyhľadávania správ.
Internet je preto vo vysokej pohotovosti, pretože vykorisťovatelia sa neustále pokúšajú zamerať sa na slabé systémy.
Ktoré zariadenia a aplikácie sú ohrozené zraniteľnosťou Log4j?
Zraniteľnosť Log4j je vážna pre každého, kto používa Apache Log4J verzie 2.0 až 2.14.1 a má prístup na internet. Podľa NCSC rámce Apache Struts2, Solr, Druid, Flink a Swift zahŕňajú verzie náklonnosti (Log4j verzia 2 alebo Log4j2).
To prináša obrovské množstvo služieb vrátane služieb od technologických gigantov, ako je Apple iCloud, Microsoft Minecraft, Twitter, Steam, Tencent, Google, Amazon, CloudFare, NetEase, Webex, LinkedIn atď.
Prečo je táto zraniteľnosť taká závažná a kriticky ťažké sa s ňou vyrovnať?
Táto zraniteľnosť je taká závažná, že hackeri sa pokúšajú viac ako 100-krát za minútu zneužiť vážne slabé systémy pomocou Apache Log4j2. To vystavuje milióny firiem nebezpečenstvu kybernetických krádeží.
Podľa správ len v Indii táto chyba vystavila 41 % spoločností riziku hackingu. Check Point Research uviedol, že zistil viac ako 846 000 útokov využívajúcich túto chybu.
Oznámila to bezpečnostná firma Kryptos Logic objavila viac ako 10 000 rôznych IP adries skenujúcich internet a je to 100-násobok množstva systémov skúmajúcich LogShell .
Táto zraniteľnosť je taká masívna kvôli skutočnosti, že Apache je najpoužívanejší webový server a Log4j je najobľúbenejší protokolovací balík Java. Má viac ako 400 000 stiahnutí iba zo svojho úložiska GitHub.
Ako zostať v bezpečí pred zraniteľnosťou Log4j?
Podľa najnovších používateľov Apache opravuje problémy pre každého na Log4j 2.15.0 a novšom, pretože štandardne deaktivujú toto správanie. Odborníci sa neustále snažia zvažovať, ako minimalizovať riziko tejto hrozby a zabezpečiť systémy. Microsoft a Cisco tiež zverejnili upozornenia na chybu.
LunaSec to spomenul Minecraft už uviedol, že používatelia môžu aktualizovať hru, aby sa vyhli problémom. Iné projekty s otvoreným zdrojovým kódom, ako je Paper, tiež vydávajú opravy na odstránenie problému .
Cisco a VMware tiež vydali záplaty pre svoje dotknuté produkty. Väčšina veľkých technologických spoločností sa teraz k problému vyjadrila verejne a ponúkla bezpečnostné opatrenia pre svojich používateľov, ako aj zamestnancov. Len ich musia prísne dodržiavať.
Čo hovoria odborníci o zraniteľnosti Log4j?
Zraniteľnosť Log4j nechala správcov systému a bezpečnostných profesionálov cez víkend vyviesť z miery. Cisco a Cloudflare oznámili, že hackeri využívajú túto chybu od začiatku tohto mesiaca. Po štvrtkovom zverejnení Apache sa však čísla drasticky zvýšili.
Zvyčajne firmy riešia takéto nedostatky súkromne. Rozsah dopadu tejto zraniteľnosti bol však taký obrovský, že spoločnosti sa ňou museli zaoberať verejne. Dokonca aj krídlo americkej vlády pre kybernetickú bezpečnosť vydalo vážne varovanie.
V sobotu to povedala Jen Easterlyová, riaditeľka americkej Agentúry pre kybernetickú bezpečnosť a bezpečnosť infraštruktúry Zraniteľnosť už využíva ‚rastúca skupina aktérov hroziacich‘, táto chyba je jednou z najzávažnejších, aké som za celú svoju kariéru videl, ak nie najzávažnejšou.
Tvrdí to Chris Frohoff, nezávislý bezpečnostný výskumník Čo je takmer isté, je to, že ľudia budú roky objavovať dlhý chvost nového zraniteľného softvéru, keď budú premýšľať o nových miestach, kam umiestniť reťazce zneužitia. Pravdepodobne sa to bude ešte dlho prejavovať v hodnoteniach a penetračných testoch vlastných podnikových aplikácií.
Odborníci sa domnievajú, že aj keď je dôležité uvedomiť si bezprostredný trvalý vplyv tejto zraniteľnosti, prvou prioritou musí byť teraz podniknúť čo najviac opatrení na zníženie škôd.
Keďže útočníci budú teraz hľadať kreatívnejšie spôsoby, ako objaviť a zneužiť čo najviac systémov, táto desivá chyba bude aj v nadchádzajúcich rokoch spôsobovať ničenie internetu!
