Како вас безбедносна рањивост Лог4Ј доводи у опасност

December 13, 2021
УВести Интернет и безбедност

Кључне Такеаваис

Хакери су објавили код који открива експлоатацију у широко коришћеној Јава библиотеци евиденције.
Истражитељи сајбер безбедности приметили су масовно скенирање широм веба у потрази за серверима и услугама које је могуће искористити.
Агенција за сајбер безбедност и безбедност инфраструктуре (ЦИСА) позвала је продавце и кориснике да хитно закрпе и ажурирају свој софтвер и услуге.

Дигитално генерисана слика сигурносног катанца електронског кола направљеног од бројева на црној позадини. — Андриј Онуфријенко / Гетти Имагес

Пејзаж сајбер безбедности је у пламену због рањивости која се лако може искористити у популарној Јава библиотеци евиденције, Лог4ј. Користи га сваки популарни софтвер и услуга и можда је већ почео да утиче на свакодневне кориснике десктопа и паметних телефона.

Стручњаци за сајбер безбедност виде широк спектар случајева коришћења експлоатације Лог4ј која се већ почиње појављивати на мрачном вебу, у распону од експлоатације Минецрафт сервера на више проблема високог профила за које верују да би потенцијално могли да утичу на Аппле иЦлоуд.

„Ова рањивост Лог4ј има ефекат цурења, утичући на све велике добављаче софтвера који би могли да користе ову компоненту као део свог паковања апликација“,

Џон Хамонд, виши истраживач безбедности у Хунтресс, рекао је за Лифевире путем е-поште. „Безбедносна заједница је открила рањиве апликације других произвођача технологије као што су Аппле, Твитер, Тесла, [и] Цлоудфларе, између осталих. Док разговарамо, индустрија још увек истражује огромну површину напада и ризик који ова рањивост представља."

Ватра у рупи

Рањивост праћена као ЦВЕ-2021-44228 и назван Лог4Схелл, има највиши резултат озбиљности од 10 у заједничком систему бодовања рањивости (ЦВСС).

ГреиНоисе, који анализира интернет саобраћај да би ухватио безбедносне сигнале, прва уочена активност за ову рањивост 9. децембра 2021. Тада су почеле да се појављују наоружане експлоатације доказа о концепту (ПоЦ), што је довело до брзог повећања скенирања и јавне експлоатације 10. децембра 2021. и током викенда.

Лог4ј је у великој мери интегрисан у широк скуп ДевОпс оквира и ИТ система предузећа и у софтвер за крајње кориснике и популарне апликације у облаку.

Тастер за рачунарство у облаку на тастатури рачунара — Ситаде / Гетти Имагес

Објашњавајући озбиљност рањивости, Анирудх Батра, аналитичар претњи у ЦлоудСЕК, каже Лифевире-у путем е-поште да би актер претње могао да га искористи за покретање кода на удаљеном серверу.

„Ово је оставило чак и популарне игре попут Минецрафт такође рањив. Нападач може да га искористи само постављањем корисног учитавања у бокс за ћаскање. Не само Минецрафт, али и друге популарне услуге као што су иЦлоуд [и] Стеам су такође рањиве“, објаснио је Батра, додајући да је „покретање рањивости на иПхоне-у једноставно као и промена назива уређаја“.

Врх леденог брега

Компанија за сајбер безбедност Тенабле сугерише да пошто је Лог4ј укључен у бројне веб апликације и користе га разне услуге у облаку, пун обим рањивости неће бити познат неко време.

Компанија указује на а ГитХуб спремиште који прати погођене услуге, који у време писања наводи око три десетине произвођача и услуге, укључујући популарне као што су Гоогле, ЛинкедИн, Вебек, Блендер и други поменути раније.

„Док разговарамо, индустрија још увек истражује огромну површину напада и ризик који ова рањивост представља.

До сада је велика већина активности била скенирање, али су примећене и експлоатационе и постексплоатационе активности.

„Мајкрософт је приметио активности укључујући инсталирање рудара новчића, Цобалт Стрике да би се омогућила крађа акредитива и бочно померање, и ексфилтрација података из компромитованих система“, пише Мицрософт центар за обавештавање претњи.

Баттен Довн тхе Хацхес

Стога не чуди да је због лакоће експлоатације и распрострањености Лог4ј, Андрев Моррис, оснивач и извршни директор ГреиНоисе-а, каже за Лифевире да верује да ће непријатељске активности наставити да се повећавају у наредних неколико дана.

Добра вест је, међутим, да је Апацхе, програмер рањиве библиотеке, издао закрпу за неутрализацију експлоатације. Али сада је на појединачним произвођачима софтвера да закрпе своје верзије како би заштитили своје клијенте.

Фотографија изблиза на којој руке особе раде са својим лаптопом — Мануел Брева Колмеиро / Гетти Имагес

Кунал Ананд, ЦТО компаније за сајбер безбедност Имперва, каже Лифевире-у путем е-поште да је већина супротстављених кампања која искоришћава рањивост тренутно усмерена на корпоративни корисници, крајњи корисници морају да буду опрезни и да се постарају да ажурирају софтвер на који се то односи чим се закрпе на располагању.

Ово мишљење је поновила и Џен Истерли, директорка Агенције за сајбер безбедност и безбедност инфраструктуре (ЦИСА).

„Крајњи корисници ће се ослањати на своје добављаче, а заједница добављача мора одмах да идентификује, ублажи и закрпи широк спектар производа који користе овај софтвер. Продавци би такође требало да комуницирају са својим купцима како би осигурали да крајњи корисници знају да њихов производ садржи ову рањивост и требало би да дају приоритет ажурирањима софтвера“, рекао је Еастерли преко изјава.