Kuinka Log4J-tietoturvahaavoittuvuus saattaa sinut vaaraan

December 13, 2021
SisäänUutiset Internet Turvallisuus

Avaimet takeawayt

Hakkerit julkaisivat koodin, joka paljastaa hyväksikäytön laajalti käytetyssä Java-lokikirjastossa.
Kyberturvallisuustutkijat huomasivat massaskannauksen verkossa etsimässä hyödynnettäviä palvelimia ja palveluita.
Cybersecurity and Infrastructure Security Agency (CISA) on kehottanut toimittajia ja käyttäjiä korjaamaan ja päivittämään ohjelmistonsa ja palvelunsa kiireellisesti.

Digitaalinen luotu kuva elektroniikkapiirin turvalukosta, joka on tehty numeroista mustalla taustalla. — Andriy Onufrijenko / Getty Images

Kyberturvallisuus on liekeissä suositun Java-lokikirjaston Log4j: n helposti hyödynnettävän haavoittuvuuden vuoksi. Sitä käyttävät kaikki suositut ohjelmistot ja palvelut, ja se on ehkä jo alkanut vaikuttaa jokapäiväiseen työpöydän ja älypuhelimen käyttäjään.

Kyberturvallisuusasiantuntijat näkevät monenlaisia käyttötapauksia Log4j-hyödynnälle, joka alkaa jo ilmestyä pimeässä verkossa, aina hyväksikäytöstä. Minecraft palvelimia suurempiin ongelmiin, joiden he uskovat mahdollisesti vaikuttavan Apple iCloudiin.

"Tällä Log4j-haavoittuvuudella on vaikutus, joka vaikuttaa kaikkiin suuriin ohjelmistotoimittajiin, jotka saattavat käyttää tätä komponenttia osana sovelluspakkauksiaan."

John Hammond, vanhempi turvallisuustutkija osoitteessa Metsästäjä, kertoi Lifewirelle sähköpostitse. "Turvallisuusyhteisö on paljastanut haavoittuvia sovelluksia muilta teknologiavalmistajilta, kuten Apple, Twitter, Tesla ja Cloudflare. Kun puhumme, teollisuus tutkii edelleen laajaa hyökkäyspinta-alaa ja riskejä, jonka tämä haavoittuvuus aiheuttaa."

Tuli reikässä

Haavoittuvuutta jäljitetään nimellä CVE-2021-44228 ja nimeltään Log4Shell, sen vakavuusaste on korkein 10 yleisessä haavoittuvuuden pisteytysjärjestelmässä (CVSS).

GreyNoise, joka analysoi Internet-liikennettä huomioiden tietoturvasignaalien poimimiseksi, ensimmäinen havaittu toiminta tämän haavoittuvuuden vuoksi 9.12.2021. Tuolloin aseistautuneita proof-of-concept exploitteja (PoC) alkoi ilmestyä, mikä johti skannauksen ja julkisen hyödyntämisen nopeaan lisääntymiseen 10. joulukuuta 2021 ja viikonlopun aikana.

Log4j on vahvasti integroitu laajaan joukkoon DevOps-kehyksiä ja yritysten IT-järjestelmiä sekä loppukäyttäjien ohjelmistoja ja suosittuja pilvisovelluksia.

Cloud computing -näppäin tietokoneen näppäimistöllä — Sitade / Getty Images

Selittää haavoittuvuuden vakavuuden, Anirudh Batra, uhkaanalyytikko osoitteessa CloudSEK, kertoo Lifewirelle sähköpostitse, että uhkatekijä voi käyttää sitä koodin suorittamiseen etäpalvelimella.

"Tämä on jättänyt jopa suositut pelit, kuten Minecraft myös haavoittuvainen. Hyökkääjä voi hyödyntää sitä vain lähettämällä hyötykuorman chatboxiin. Ei vain Minecraft, mutta muut suositut palvelut, kuten iCloud [ja] Steam, ovat myös haavoittuvia", Batra selitti ja lisäsi, että "iPhonen haavoittuvuuden laukaiseminen on yhtä helppoa kuin laitteen nimen vaihtaminen".

Jäävuoren huippu

Kyberturvallisuusyhtiö Kestävä ehdottaa Koska Log4j sisältyy useisiin verkkosovelluksiin ja sitä käyttävät monet pilvipalvelut, haavoittuvuuden koko laajuus ei ole tiedossa vähään aikaan.

Yhtiö viittaa a GitHub-arkisto joka seuraa vaikutuspiiriin kuuluvia palveluita, ja siinä luetellaan kirjoitushetkellä noin kolme tusinaa valmistajaa ja palvelut, mukaan lukien suositut, kuten Google, LinkedIn, Webex, Blender ja muut mainitut aikaisemmin.

"Kun puhumme, teollisuus tutkii edelleen laajaa hyökkäyspinta-alaa ja riskiä, jonka tämä haavoittuvuus aiheuttaa."

Tähän asti valtaosa toiminnasta on ollut skannausta, mutta myös hyväksikäyttöä ja sen jälkeistä toimintaa on nähty.

"Microsoft on havainnut toimintaa, mukaan lukien kolikkokaivosten asentaminen, Cobalt Strike valtuustietojen varastamisen ja sivuttaisliikkeen mahdollistamiseksi sekä tietojen suodattaminen vaarantuneista järjestelmistä", kirjoittaa Microsoft Threat Intelligence Center.

Tiivistää lastiluukut

Ei siis ole yllätys, että Log4j: n hyödyntämisen helppouden ja yleisyyden vuoksi Andrew Morris, GreyNoisen perustaja ja toimitusjohtaja, kertoo Lifewirelle uskovansa vihamielisen toiminnan lisääntyvän edelleen muutaman seuraavan päivän aikana.

Hyvä uutinen on kuitenkin se, että haavoittuvan kirjaston kehittäjä Apache on julkaissut korjaustiedoston, joka neutraloi hyväksikäytöt. Mutta nyt yksittäisten ohjelmistovalmistajien on korjattava versioitaan asiakkaidensa suojaamiseksi.

Lähikuva ihmisen käsistä työskentelemässä kannettavan tietokoneensa kanssa — Manuel Breva Colmeiro / Getty Images

Kunal Anand, kyberturvallisuusyhtiön teknologiajohtaja Imperva, kertoo Lifewirelle sähköpostitse, että vaikka suurin osa haavoittuvuutta hyväksikäyttävistä kampanjoista on tällä hetkellä suunnattu Yrityskäyttäjien on pysyttävä valppaina ja varmistettava, että he päivittävät ohjelmistonsa heti, kun korjaustiedostot ovat saatavilla. saatavilla.

Tunnetta toisti Jen Easterly, Cybersecurity and Infrastructure Security Agencyn (CISA) johtaja.

"Loppukäyttäjät ovat riippuvaisia myyjistään, ja toimittajayhteisön on välittömästi tunnistettava, lievennettävä ja korjattava laaja valikoima tuotteita tämän ohjelmiston avulla. Myyjien tulisi myös kommunikoida asiakkaidensa kanssa varmistaakseen, että loppukäyttäjät tietävät, että heidän tuotteensa sisältää tämän haavoittuvuuden, ja heidän tulee asettaa ohjelmistopäivitykset etusijalle", Easterly sanoi. lausunto.