W jaki sposób luka w zabezpieczeniach Log4J naraża Cię na ryzyko

December 13, 2021
WAktualności Ochrona Internetu

Kluczowe dania na wynos

Hakerzy opublikowali kod ujawniający exploit w powszechnie używanej bibliotece logów Java.
Cyberprzestępcy zauważyli masowe skanowanie sieci w poszukiwaniu serwerów i usług, które można wykorzystać.
Agencja ds. Bezpieczeństwa Cyberbezpieczeństwa i Infrastruktury (CISA) wezwała dostawców i użytkowników do pilnej aktualizacji oprogramowania i usług.

Cyfrowy generowany obraz kłódki bezpieczeństwa obwodów elektronicznych, wykonane z numerów na czarnym tle. — Andrij Onufrijenko / Getty Images

Krajobraz cyberbezpieczeństwa płonie z powodu łatwej do wykorzystania luki w popularnej bibliotece logów Java, Log4j. Jest używany przez każde popularne oprogramowanie i usługę i być może już zaczął wpływać na codziennego użytkownika komputerów stacjonarnych i smartfonów.

Eksperci ds. cyberbezpieczeństwa widzą wiele różnych przypadków użycia exploita Log4j, który już zaczyna pojawiać się w ciemnej sieci, począwszy od wykorzystywania Minecraft serwery do bardziej głośnych problemów, które ich zdaniem mogą potencjalnie wpłynąć na Apple iCloud.

„Ta luka w zabezpieczeniach Log4j ma efekt spływania, wpływając na wszystkich dużych dostawców oprogramowania, którzy mogą używać tego komponentu w ramach pakowania aplikacji”

John Hammond, starszy analityk ds. bezpieczeństwa w Łowczyni, powiedział Lifewire w e-mailu. „Społeczność bezpieczeństwa odkryła wrażliwe aplikacje innych producentów technologii, takich jak Apple, Twitter, Tesla i Cloudflare. Jak mówimy, branża wciąż bada ogromną powierzchnię ataku i ryzykuje, że ta luka stwarza”.

Ognia

Podatność śledzona jako CVE-2021-44228 i nazwany Log4Shell, ma najwyższy wynik ważności 10 w powszechnym systemie oceny podatności (CVSS).

Szary Szum, który analizuje ruch internetowy w celu wychwytywania ważnych sygnałów bezpieczeństwa, pierwsza zaobserwowana aktywność za tę lukę w dniu 9 grudnia 2021 r. Wtedy zaczęły pojawiać się uzbrojone exploity typu „proof-of-concept” (PoC), co doprowadziło do gwałtownego wzrostu skanowania i publicznego wykorzystywania w dniu 10 grudnia 2021 r. i przez cały weekend.

Log4j jest mocno zintegrowany z szerokim zestawem frameworków DevOps i korporacyjnych systemów IT, a także z oprogramowaniem użytkownika końcowego i popularnymi aplikacjami w chmurze.

Klucz przetwarzania w chmurze na klawiaturze komputera — Sitade / Getty Images

wyjaśnienie wagi podatności, Anirudh Batra, analityk zagrożeń w ChmuraSEK, informuje Lifewire w wiadomości e-mail, że osoba działająca w ramach zagrożenia może go wykorzystać do uruchomienia kodu na zdalnym serwerze.

„To pozostawiło nawet popularne gry, takie jak Minecraft również wrażliwy. Atakujący może to wykorzystać, umieszczając ładunek w oknie czatu. Nie tylko Minecraft, ale inne popularne usługi, takie jak iCloud [i] Steam, są również podatne na ataki”, wyjaśnił Batra, dodając, że „wyzwolenie luki w iPhonie jest tak proste, jak zmiana nazwy urządzenia”.

Wierzchołek góry lodowej

Firma zajmująca się cyberbezpieczeństwem Sugeruje obronę że ponieważ Log4j jest zawarty w wielu aplikacjach internetowych i jest używany przez różne usługi w chmurze, pełny zakres luki nie będzie znany przez jakiś czas.

Firma wskazuje na Repozytorium GitHub który śledzi dotknięte usługi, które w chwili pisania tego tekstu wymienia około trzech tuzinów producentów i usługi, w tym popularne, takie jak Google, LinkedIn, Webex, Blender i inne wymienione wcześniej.

„Jak mówimy, branża wciąż bada ogromną powierzchnię ataku i ryzykuje, że ta luka stwarza”.

Do tej pory zdecydowana większość działań była skanowana, ale zaobserwowano również działania eksploatacyjne i poeksploatacyjne.

„Microsoft zaobserwował działania, w tym instalowanie koparek do monet, Cobalt Strike w celu umożliwienia kradzieży poświadczeń i ruchu bocznego oraz eksfiltracji danych z zaatakowanych systemów”, pisze Centrum analizy zagrożeń firmy Microsoft.

Załóż włazy

Nic więc dziwnego, że ze względu na łatwość eksploatacji i powszechność Log4j, Andrzej Morris, założyciel i dyrektor generalny GreyNoise, mówi Lifewire, że wierzy, że wrogie działania będą nadal rosły w ciągu najbliższych kilku dni.

Dobrą wiadomością jest jednak to, że Apache, twórcy podatnej biblioteki, wydali łatkę, która neutralizuje exploity. Ale teraz to poszczególni twórcy oprogramowania muszą zaktualizować swoje wersje, aby chronić swoich klientów.

Zbliżenie dłoni osoby pracującej z laptopem — Manuel Breva Colmeiro / Getty Images

Kunal Anand, CTO firmy zajmującej się cyberbezpieczeństwem Imperwa, informuje Lifewire przez e-mail, że podczas gdy większość kampanii adwersarzy wykorzystujących tę lukę jest obecnie skierowana na użytkownicy korporacyjni, użytkownicy końcowi muszą zachować czujność i upewnić się, że aktualizują oprogramowanie, którego dotyczy problem, gdy tylko pojawią się poprawki dostępny.

Sentyment ten podzieliła Jen Easterly, dyrektor Agencji Bezpieczeństwa ds. Cyberbezpieczeństwa i Infrastruktury (CISA).

„Użytkownicy końcowi będą polegać na swoich dostawcach, a społeczność dostawców musi natychmiast zidentyfikować, złagodzić i załatać szeroką gamę produktów korzystających z tego oprogramowania. Sprzedawcy powinni również komunikować się ze swoimi klientami, aby upewnić się, że użytkownicy końcowi wiedzieli, że ich produkt zawiera tę lukę, i powinni traktować priorytetowo aktualizacje oprogramowania ”- powiedział Easterly za pośrednictwem oświadczenie.