Kuidas Log4J turvahaavatavus teid ohtu seab

December 13, 2021
SisseUudised Interneti Turvalisus

Võtmed kaasavõtmiseks

Häkkerid postitasid koodi, mis paljastas laialdaselt kasutatava Java logiraamatukogu ärakasutamise.
Küberturvalisuse uurijad märkasid kogu veebi massilist skannimist, otsides kasutatavaid servereid ja teenuseid.
Küberturvalisuse ja infrastruktuuri turbeagentuur (CISA) on kutsunud müüjaid ja kasutajaid üles oma tarkvara ja teenuseid kiiresti parandama ja värskendama.

Numbritest mustal taustal tehtud digitaalselt genereeritud elektroonikaahela turva tabaluku kujutis. — Andriy Onufrijenko / Getty Images

Küberturvalisuse maastik on leekides populaarse Java logiteegi Log4j kergesti ärakasutatava haavatavuse tõttu. Seda kasutab iga populaarne tarkvara ja teenus ning võib-olla on see juba hakanud mõjutama igapäevast lauaarvuti ja nutitelefoni kasutajat.

Küberturvalisuse eksperdid näevad juba tumedas veebis ilmumas Log4j ärakasutamise mitmesuguseid kasutusjuhtumeid, alates ekspluateerimisest. Minecraft servereid suuremate probleemide lahendamiseks, mis nende arvates võivad Apple iCloudi mõjutada.

"Sellel Log4j haavatavusel on allavooluefekt, mis mõjutab kõiki suuri tarkvarapakkujaid, kes võivad seda komponenti oma rakenduste pakkimise osana kasutada."

John Hammond, turvalisuse vanemteadur aadressil Jahinaine, ütles Lifewire'ile e-posti teel. "Turbekogukond on avastanud haavatavaid rakendusi teistelt tehnoloogiatootjatelt, nagu Apple, Twitter, Tesla ja Cloudflare. Praegusel ajal uurib tööstus endiselt tohutut rünnakupinda ja ohustab seda haavatavust.

Tuli augus

Haavatavust jälgitakse kui CVE-2021-44228 ja kannab nime Log4Shell, on ühise haavatavuse hindamissüsteemi (CVSS) kõrgeima raskusastme skooriga 10.

GreyNoise, mis analüüsib Interneti-liiklust, et tuvastada turvasignaale, esimene täheldatud tegevus selle haavatavuse jaoks 9. detsembril 2021. Siis hakkasid ilmuma relvastatud kontseptsiooni tõestamise võtted (PoC), mis tõi kaasa skaneerimise ja avaliku kasutamise kiire kasvu 10. detsembril 2021 ja nädalavahetusel.

Log4j on tugevalt integreeritud paljude DevOpsi raamistike ja ettevõtte IT-süsteemide hulka ning lõppkasutaja tarkvarasse ja populaarsetesse pilverakendustesse.

Pilvandmetöötluse klahv arvuti klaviatuuril — Sitade / Getty Images

haavatavuse tõsidust selgitades, Anirudh Batra, ohuanalüütik aadressil CloudSEK, teatab Lifewire'ile e-posti teel, et ohus osaleja võib seda ära kasutada koodi käivitamiseks kaugserveris.

"See on jätnud isegi sellised populaarsed mängud nagu Minecraft samuti haavatavad. Ründaja saab seda ära kasutada lihtsalt vestluskasti kasuliku koormuse postitamisega. Mitte ainult Minecraft, kuid haavatavad on ka teised populaarsed teenused, nagu iCloud [ja] Steam," selgitas Batra ja lisas, et "iPhone'is on haavatavuse käivitamine sama lihtne kui seadme nime muutmine."

Jäämäe tipp

Küberturvalisuse ettevõte Vastupidav soovitab et kuna Log4j sisaldub paljudes veebirakendustes ja seda kasutavad mitmed pilveteenused, ei ole haavatavuse täielik ulatus veel mõnda aega teada.

Ettevõte osutab a GitHubi hoidla mis jälgib mõjutatud teenuseid, mille kirjutamise ajal on loetletud umbes kolm tosinat tootjat ja teenused, sealhulgas populaarsed, nagu Google, LinkedIn, Webex, Blender ja teised mainitud varem.

"Kui me räägime, uurib tööstus endiselt tohutut rünnakupinda ja riskib selle haavatavuse tõttu."

Seni on valdav osa tegevusest olnud skaneerimine, kuid nähtud on ka ärakasutamist ja kasutusjärgseid tegevusi.

"Microsoft on jälginud tegevusi, sealhulgas mündikaevurite paigaldamist, Cobalt Strike'i mandaatide varguse ja külgsuunalise liikumise võimaldamiseks ning andmete väljafiltreerimist ohustatud süsteemidest," kirjutab Microsofti ohtude luurekeskus.

Lükake luugid alla

Seetõttu pole üllatav, et Log4j kasutamise lihtsuse ja levimuse tõttu Andrew Morris, GreyNoise'i asutaja ja tegevjuht, ütleb Lifewire'ile, et ta usub, et vaenulik tegevus kasvab ka järgmistel päevadel.

Hea uudis on aga see, et haavatava teegi arendaja Apache on välja andnud plaastri ärakasutamise neutraliseerimiseks. Kuid nüüd on üksikute tarkvaratootjate ülesanne oma versioone parandada, et oma kliente kaitsta.

Lähivõte inimese kätest, kes töötavad sülearvutiga — Manuel Breva Colmeiro / Getty Images

Kunal Anand, küberturvalisuse ettevõtte tehnoloogiadirektor Imperva, teatab Lifewire'ile meili teel, et kuigi suurem osa haavatavust ära kasutavast kampaaniast on praegu suunatud ettevõtete kasutajad peavad lõppkasutajad olema valvsad ja tagama, et nad värskendaksid oma mõjutatud tarkvara niipea, kui paigad on saadaval saadaval.

Seda suhtumist kordas küberturvalisuse ja infrastruktuuri turbeagentuuri (CISA) direktor Jen Easterly.

"Lõppkasutajad sõltuvad oma müüjatest ja müüjakogukond peab seda tarkvara kasutades viivitamatult tuvastama, leevendama ja parandama laia valikut tooteid. Tarnijad peaksid ka oma klientidega suhtlema, et lõppkasutajad teaksid, et nende toode sisaldab seda haavatavust, ja peaksid eelistama tarkvaravärskendusi," ütles Easterly avaldus.