Velmi závažná vada Apache Log4j, volala Log4Shell, se nyní stala nejvýznamnější bezpečnostní zranitelností na internetu s a skóre závažnosti 10/10 . Log4j je open-source Java knihovna pro protokolování chybových zpráv v aplikacích, kterou široce používá nespočet technologických firem.
Služby velkých technologických společností od nynějška trpí tím, co bezpečnostní experti označují za jeden z nejkritičtějších nedostatků v nedávné historii. Tato chyba je schopna umožnit hackerům neomezený přístup k počítačovým systémům.
Podle nedávné zprávy Microsoftu se již nejméně tucet skupin útočníků pokouší zneužít chyby k tomu, aby ukradli systémové přihlašovací údaje, instalovali těžaře kryptoměn na náchylné systémy, ukradli data a pronikli hlouběji do kompromitovaných sítí.
Chyba je tak závažná, že americká vládní agentura pro kybernetickou bezpečnost vydala naléhavé varování všem zranitelným společnostem a navrhla, aby okamžitě podnikly účinné kroky. Zjistěte vše o této zranitelnosti Zero-day – Log4j podrobně a o tom, jak se před ní chránit.
Aktualizace : Zjištěna druhá chyba zabezpečení Log4j; Patch uvolněn
V úterý byla objevena druhá zranitelnost zahrnující Apache Log4j. Stalo se tak poté, co odborníci na kybernetickou bezpečnost strávili dny opravami nebo zmírněním toho prvního. Oficiální název této chyby zabezpečení je CVE 2021-45046.
Popis uvádí, že oprava adresy CVE-2021-44228 v Apache Log4j 2.15.0 byla v určitých nevýchozích konfiguracích neúplná. To by mohlo útočníkům umožnit... vytvářet škodlivá vstupní data pomocí vzoru vyhledávání JNDI, což má za následek útok typu denial of service (DOS)
Mezinárodní bezpečnostní společnost ESET představuje mapu ukazující, kde dochází ke zneužívání Log4j.
Zdroj obrázku: PŘÍPAD
Dobrá věc je, že Apache již vydal opravu, Log4j 2.16.0, která tento problém řeší a opravuje. Nejnovější oprava řeší problém odstraněním podpory vzorů vyhledávání zpráv a zakázáním funkce JNDI ve výchozím nastavení.
Co je chyba zabezpečení Log4j?
Chyba zabezpečení Log4j nazývaná také Log4Shell je problém s knihovnou Logj4 Java, která umožňuje vykořisťovatelům ovládat a spouštět libovolný kód a získat přístup k počítačovému systému. Oficiální název této chyby zabezpečení je CVE-2021-44228 .
Log4j je open-source Java knihovna vytvořená Apache, která je zodpovědná za uchovávání záznamů o všech aktivitách v aplikaci. Softwaroví vývojáři jej široce využívají pro své aplikace. Proto jsou v současnosti náchylné k útokům i ty největší technologické společnosti jako Microsoft, Twitter a Apple.
Jak byla objevena nebo nalezena chyba zabezpečení Log4j?
Zranitelnost Log4Shell (Log4j) byla poprvé objevena výzkumníky z LunaSec v Minecraftu vlastněném společností Microsoft. Později si výzkumníci uvědomili, že se nejedná o závadu Minecraftu, a LunaSec varoval, že mnoho a mnoho služeb je vůči tomuto zneužití zranitelných kvůli všudypřítomné přítomnosti Log4j.
Od té doby se objevilo mnoho zpráv, které to označily za jednu z nejzávažnějších chyb poslední doby a za chybu, která ovlivní internet v nadcházejících letech.
Co dokáže zranitelnost Log4j?
Chyba zabezpečení Log4j je schopna poskytnout úplný přístup do systému hackerům/útočníkům/vykořisťovatelům. Jednoduše musí spustit libovolný kód, aby získali neomezený přístup. Tato chyba jim také může umožnit získat úplnou kontrolu nad serverem, když se systémem správně manipulují.
Technická definice chyby v knihovně CVE (Common Vulnerabilities and Exposures) uvádí, že útočník, který může ovládat zprávy protokolu nebo parametry zpráv protokolu, může spustit libovolný kód načtený ze serverů LDAP, když je povoleno nahrazování vyhledávání zpráv.
Internet je proto ve vysoké pohotovosti, protože vykořisťovatelé se neustále snaží zacílit na slabé systémy.
Jaká zařízení a aplikace jsou ohroženy zranitelností Log4j?
Chyba zabezpečení Log4j je závažná pro všechny nevyzpytatelné uživatele, kteří používají Apache Log4J verze 2.0 až 2.14.1 a mají přístup k internetu. Podle NCSC zahrnují rámce Apache Struts2, Solr, Druid, Flink a Swift verze náklonnosti (Log4j verze 2 nebo Log4j2).
To přináší obrovské množství služeb, včetně služeb od technologických gigantů, jako je Apple iCloud, Microsoft Minecraft, Twitter, Steam, Tencent, Google, Amazon, CloudFare, NetEase, Webex, LinkedIn atd.
Proč je tato zranitelnost tak závažná a kriticky obtížné se s ní vypořádat?
Tato zranitelnost je tak závažná, že se hackeři pokoušejí více než 100krát za minutu zneužít vážně slabé systémy pomocí Apache Log4j2. To vystavuje miliony firem nebezpečí kybernetické krádeže.
Podle zpráv pouze v Indii tato chyba vystavila 41 % společností riziku hackingu. Společnost Check Point Research uvedla, že odhalila více než 846 000 útoků využívajících tuto chybu.
Oznámila to bezpečnostní firma Kryptos Logic objevila více než 10 000 různých IP adres skenujících internet a je to 100krát větší počet systémů, které zkoumají LogShell .
Tato zranitelnost je tak masivní kvůli skutečnosti, že Apache je nejrozšířenějším webovým serverem a Log4j je nejoblíbenějším balíčkem pro protokolování Java. Má více než 400 000 stažení pouze ze svého úložiště GitHub.
Jak zůstat v bezpečí před zranitelností Log4j?
Podle nejnovějších uživatelů Apache opravuje problémy pro každého na Log4j 2.15.0 a vyšší, protože toto chování ve výchozím nastavení deaktivují. Odborníci se neustále snaží zvažovat, jak minimalizovat riziko této hrozby a zabezpečit systémy. Microsoft a Cisco také zveřejnily upozornění na chybu.
LunaSec to zmínil Minecraft již uvedl, že uživatelé mohou hru aktualizovat, aby se vyhnuli jakýmkoli problémům. Další projekty s otevřeným zdrojovým kódem, jako je Paper, také vydávají opravy, aby problém vyřešily .
Společnosti Cisco a VMware také vydaly opravy pro své dotčené produkty. Většina velkých technologických společností nyní tento problém veřejně řešila a nabídla bezpečnostní opatření pro své uživatele i zaměstnance. Jen je musí striktně dodržovat.
Co říkají odborníci o zranitelnosti Log4j?
Chyba zabezpečení Log4j o víkendu nechala systémové administrátory a bezpečnostní profesionály v rozpacích. Cisco a Cloudflare oznámily, že hackeři tuto chybu zneužívali od začátku tohoto měsíce. Po čtvrtečním zveřejnění Apache se však čísla drasticky zvýšila.
Firmy obvykle řeší takové nedostatky soukromě. Rozsah dopadu této zranitelnosti byl však tak široký, že se jí společnosti musely veřejně zabývat. Dokonce i křídlo americké vlády pro kybernetickou bezpečnost vydalo vážné varování.
V sobotu to řekla Jen Easterlyová, ředitelka Agentury pro kybernetickou bezpečnost a infrastrukturu USA Tuto zranitelnost již využívá ‚rostoucí skupina aktérů hrozeb‘, tato chyba je jednou z nejzávažnějších, jaké jsem za celou svou kariéru viděl, ne-li nejzávažnější.
Tvrdí to Chris Frohoff, nezávislý bezpečnostní výzkumník Je téměř jisté, že lidé budou léta objevovat dlouhý konec nového zranitelného softwaru, když budou přemýšlet o nových místech, kam umístit exploit stringy. To se pravděpodobně bude dlouho objevovat v hodnoceních a penetračních testech vlastních podnikových aplikací.
Odborníci se domnívají, že i když je důležité si být vědomi bezprostředního trvalého dopadu zranitelnosti, první prioritou musí být nyní podniknout co možná nejvíce opatření ke snížení škod.
Vzhledem k tomu, že útočníci budou nyní hledat kreativnější způsoby, jak objevit a zneužít co nejvíce systémů, bude tato děsivá chyba i v nadcházejících letech způsobovat destrukci celého internetu!
