Ako vás bezpečnostná chyba Log4J vystavuje riziku

December 13, 2021
VNovinky Internetová Bezpečnosť

Kľúčové poznatky

Hackeri zverejnili kód odhaľujúci exploit v široko používanej protokolovacej knižnici Java.
Detektívi kybernetickej bezpečnosti si všimli masové skenovanie na webe a hľadali zneužiteľné servery a služby.
Agentúra pre kybernetickú bezpečnosť a bezpečnosť infraštruktúry (CISA) vyzvala predajcov a používateľov, aby urýchlene opravili a aktualizovali svoj softvér a služby.

Digitálne generovaný obrázok bezpečnostného zámku elektronického obvodu vyrobený z čísel na čiernom pozadí. — Andriy Onufriyenko / Getty Images

Krajina kybernetickej bezpečnosti je v plameňoch kvôli ľahko zneužiteľnej zraniteľnosti v populárnej protokolovacej knižnici Java Log4j. Používa ho každý populárny softvér a služba a možno už začal ovplyvňovať každodenného používateľa stolných počítačov a smartfónov.

Odborníci na kybernetickú bezpečnosť vidia širokú škálu prípadov použitia zneužitia Log4j, ktoré sa už začína objavovať na temnom webe, od zneužívania Minecraft servery k dôležitejším problémom, o ktorých sa domnievajú, že by mohli potenciálne ovplyvniť Apple iCloud.

„Táto zraniteľnosť Log4j má efekt poklesu a ovplyvňuje všetkých veľkých poskytovateľov softvéru, ktorí môžu používať tento komponent ako súčasť balíka aplikácií,“

John Hammond, Senior Security Researcher at Poľovníčka, povedal Lifewire prostredníctvom e-mailu. „Bezpečnostná komunita odhalila zraniteľné aplikácie od iných výrobcov technológií, ako sú okrem iných Apple, Twitter, Tesla [a] Cloudflare. Zatiaľ čo hovoríme, priemysel stále skúma obrovskú plochu útoku a riskuje, že táto zraniteľnosť predstavuje."

Oheň v jame

Zraniteľnosť sledovaná ako CVE-2021-44228 a nazývaný Log4Shell, má najvyššie skóre závažnosti 10 v bežnom systéme hodnotenia zraniteľnosti (CVSS).

GreyNoise, ktorý analyzuje internetový prenos, aby zachytil bezpečnostné signály, prvá pozorovaná aktivita pre túto chybu zabezpečenia dňa 9. decembra 2021. Vtedy sa začali objavovať zbrojné proof-of-concept exploity (PoC), čo viedlo k rýchlemu nárastu skenovania a verejného využívania 10. decembra 2021 a cez víkend.

Log4j je silne integrovaný do širokého súboru rámcov DevOps a podnikových IT systémov a do softvéru pre koncových používateľov a populárnych cloudových aplikácií.

Kláves cloud computingu na klávesnici počítača — Sitade / Getty Images

Vysvetlenie závažnosti zraniteľnosti, Anirudh Batra, analytik hrozieb v CloudSEK, hovorí Lifewire prostredníctvom e-mailu, že aktér hrozby by to mohol zneužiť na spustenie kódu na vzdialenom serveri.

„Toto zanechalo aj populárne hry ako Minecraft tiež zraniteľný. Útočník to môže zneužiť len zverejnením užitočného obsahu v chatboxe. Nie len Minecraft, ale zraniteľné sú aj ďalšie populárne služby ako iCloud [a] Steam,“ vysvetlil Batra a dodal, že „spustenie zraniteľnosti v iPhone je také jednoduché ako zmena názvu zariadenia.“

Špička ľadovca

Spoločnosť zaoberajúca sa kybernetickou bezpečnosťou Udržateľný navrhuje pretože Log4j je súčasťou množstva webových aplikácií a používa ho množstvo cloudových služieb, úplný rozsah zraniteľnosti nebude nejaký čas známy.

Spoločnosť poukazuje na a Úložisko GitHub ktorá sleduje ovplyvnené služby, ktorá v čase písania tohto článku uvádza približne tri desiatky výrobcov a služby, vrátane populárnych, ako sú Google, LinkedIn, Webex, Blender a ďalšie spomenuté skôr.

"Ako hovoríme, priemysel stále skúma obrovskú plochu útoku a riskuje, že táto zraniteľnosť predstavuje."

Doposiaľ bola prevažná väčšina aktivít zameraná na skenovanie, ale pozorovali sa aj aktivity súvisiace s vykorisťovaním a po vykorisťovaní.

„Microsoft pozoroval aktivity vrátane inštalácie mincovníkov, Cobalt Strike na umožnenie krádeže poverení a bočného pohybu a extrakcie údajov z kompromitovaných systémov,“ píše sa Microsoft Threat Intelligence Center.

Batten Down the Hatches

Nie je preto žiadnym prekvapením, že vďaka ľahkému využívaniu a rozšíreniu Log4j, Andrew Morris, zakladateľ a generálny riaditeľ spoločnosti GreyNoise, povedal Lifewire, že verí, že nepriateľská aktivita bude v najbližších dňoch narastať.

Dobrou správou však je, že Apache, vývojári zraniteľnej knižnice, vydali opravu na zneškodnenie exploitov. Teraz je však na jednotlivých tvorcoch softvéru, aby opravili svoje verzie na ochranu svojich zákazníkov.

Detailná fotografia rúk osoby pracujúcej s notebookom — Manuel Breva Colmeiro / Getty Images

Kunal Anand, CTO spoločnosti zaoberajúcej sa kybernetickou bezpečnosťou Imperva, hovorí Lifewire e-mailom, že zatiaľ čo väčšina nepriateľskej kampane využívajúcej túto zraniteľnosť je v súčasnosti zameraná na podnikoví používatelia, koncoví používatelia musia zostať ostražití a uistiť sa, že aktualizujú svoj dotknutý softvér hneď, ako sú opravy k dispozícii.

Tento názor zopakovala aj Jen Easterly, riaditeľka Agentúry pre kybernetickú bezpečnosť a bezpečnosť infraštruktúry (CISA).

„Koncoví používatelia sa budú spoliehať na svojich dodávateľov a komunita predajcov musí okamžite identifikovať, zmierniť a opraviť širokú škálu produktov pomocou tohto softvéru. Predajcovia by tiež mali komunikovať so svojimi zákazníkmi, aby zabezpečili, že koncoví používatelia vedia, že ich produkt obsahuje túto zraniteľnosť, a mali by uprednostňovať aktualizácie softvéru,“ povedal Easterly prostredníctvom vyhlásenie.