Labai rimtas defektas Apache Log4j, paskambino Log4Shell, Šiuo metu tapo populiariausia saugumo spraga internete su a sunkumo balas 10/10 . „Log4j“ yra atvirojo kodo „Java“ biblioteka, skirta programų klaidų pranešimams registruoti, kurią plačiai naudoja daugybė technologijų įmonių.
Nuo šiol didžiųjų technologijų kompanijų paslaugos šiuo metu kenčia nuo to, ką saugumo ekspertai vadina viena iš svarbiausių trūkumų pastarojoje istorijoje. Šis trūkumas gali leisti įsilaužėliams nevaržomai prieiti prie kompiuterių sistemų.
Remiantis naujausia „Microsoft“ ataskaita, mažiausiai keliolika užpuolikų grupių jau bando išnaudoti šią ydą, kad pavogtų sistemos kredencialus, įdiegtų kriptovaliutų kasyklas pavojingose sistemose, pavogtų duomenis ir gilintųsi į pažeistus tinklus.
Trūkumas toks didelis, kad JAV vyriausybės kibernetinio saugumo agentūra skubiai įspėjo visas pažeidžiamas bendroves ir pasiūlė nedelsiant imtis veiksmingų veiksmų. Išsamiai sužinokite viską apie šį nulinės dienos pažeidžiamumą – Log4j ir kaip apsisaugoti nuo jo.
Atnaujinti : aptiktas antrasis Log4j pažeidžiamumas; Išleistas pleistras
Antradienį buvo aptiktas antras pažeidžiamumas, susijęs su Apache Log4j. Tai įvyko po to, kai kibernetinio saugumo ekspertai praleido kelias dienas, kad pataisytų arba sušvelnintų pirmąjį. Oficialus šio pažeidžiamumo pavadinimas yra CVE 2021-45046.
Apraše teigiama, kad adreso CVE-2021-44228 taisymas Apache Log4j 2.15.0 buvo neišsamus tam tikrose nenumatytosiose konfigūracijose. Tai gali leisti užpuolikams... sukurti kenkėjiškus įvesties duomenis naudojant JNDI peržvalgos šabloną, dėl kurio gali atsirasti paslaugų atsisakymo (DOS) ataka.
Tarptautinė saugos įmonė ESET pristato žemėlapį, kuriame rodoma, kur vyksta Log4j eksploatacija.
Vaizdo šaltinis: CASE
Gerai tai, kad „Apache“ jau išleido pataisą „Log4j 2.16.0“, kad išspręstų ir išspręstų šią problemą. Naujausia pataisa išsprendžia problemą pašalindama pranešimų paieškos šablonų palaikymą ir pagal numatytuosius nustatymus išjungdama JNDI funkciją.
Kas yra „Log4j“ pažeidžiamumas?
„Log4j“ pažeidžiamumas, dar vadinamas „Log4Shell“, yra „Logj4 Java“ bibliotekos problema, leidžianti išnaudotojams valdyti ir vykdyti savavališką kodą bei gauti prieigą prie kompiuterinės sistemos. Oficialus šio pažeidžiamumo pavadinimas yra CVE-2021-44228 .
„Log4j“ yra „Apache“ sukurta atvirojo kodo „Java“ biblioteka, kuri yra atsakinga už visos programos veiklos įrašus. Programinės įrangos kūrėjai ją plačiai naudoja savo programoms. Todėl net didžiausios technologijų įmonės, tokios kaip „Microsoft“, „Twitter“ ir „Apple“, šiuo metu yra linkusios į atakas.
Kaip buvo aptiktas arba rastas „Log4j“ pažeidžiamumas?
Log4Shell (Log4j) pažeidžiamumą pirmą kartą aptiko LunaSec tyrėjai Microsoft priklausančioje Minecraft. Vėliau tyrėjai suprato, kad tai nėra „Minecraft“ gedimas, o „LunaSec“ perspėjo, kad daugelis paslaugų yra pažeidžiamos dėl šio išnaudojimo dėl „Log4j“ buvimo visur.
Nuo to laiko buvo gauta daug pranešimų, vadinančių tai vienu rimčiausių pastarojo meto trūkumų ir trūkumo, kuris darys internetą daugelį metų.
Ką gali padaryti „Log4j“ pažeidžiamumas?
Log4j pažeidžiamumas gali suteikti visišką prieigą prie sistemos įsilaužėliams / užpuolikams / išnaudotojams. Jie tiesiog turi vykdyti savavališką kodą, kad gautų neribotą prieigą. Šis trūkumas taip pat gali leisti jiems visiškai valdyti serverį, kai jie tinkamai manipuliuoja sistema.
Techniniame CVE (bendrųjų pažeidžiamumų ir poveikio) bibliotekos trūkumo apibrėžime teigiama, kad užpuolikas, galintis valdyti žurnalo pranešimus arba žurnalo pranešimų parametrus, gali vykdyti savavališką kodą, įkeltą iš LDAP serverių, kai įjungtas pranešimų paieškos pakeitimas.
Todėl internetas yra labai budrus, nes išnaudotojai nuolat bando nusitaikyti į silpnas sistemas.
Kuriems įrenginiams ir programoms gresia „Log4j“ pažeidžiamumas?
Log4j pažeidžiamumas yra rimtas bet kuriam apgavikui, kuris naudoja 2.0–2.14.1 „Apache Log4J“ versijas ir turi prieigą prie interneto. Remiantis NCSC, „Apache Struts2“, „Solr“, „Druid“, „Flink“ ir „Swift“ sistemos apima meilės versijas („Log4j“ 2 versija arba „Log4j2“).
Tai suteikia daugybę paslaugų, įskaitant teikiamas iš technologijų gigantų, tokių kaip Apple iCloud, Microsoft Minecraft, Twitter, Steam, Tencent, Google, Amazon, CloudFare, NetEase, Webex, LinkedIn ir kt.
Kodėl šis pažeidžiamumas toks didelis, o susidoroti su juo labai sunku?
Šis pažeidžiamumas yra toks didelis, kad įsilaužėliai daugiau nei 100 kartų per minutę bando išnaudoti labai silpnas sistemas naudodami Apache Log4j2. Dėl to milijonams įmonių kyla kibernetinės vagystės pavojus.
Remiantis ataskaitomis, tik Indijoje dėl šio trūkumo 41% įmonių kilo įsilaužimų pavojus. „Check Point Research“ pranešė, kad aptiko daugiau nei 846 000 išpuolių, išnaudojančių šią ydą.
Tai paskelbė apsaugos įmonė „Kryptos Logic“. ji atrado daugiau nei 10 000 skirtingų IP adresų, nuskaitančių internetą, ir tai yra 100 kartų daugiau nei sistemų, ieškančių LogShell. .
Šis pažeidžiamumas toks didžiulis dėl to, kad „Apache“ yra plačiausiai naudojamas žiniatinklio serveris, o „Log4j“ yra populiariausias „Java“ registravimo paketas. Jis turi daugiau nei 400 000 atsisiuntimų tik iš „GitHub“ saugyklos.
Kaip apsisaugoti nuo „Log4j“ pažeidžiamumo?
Pasak naujausių vartotojų, „Apache“ taiso visų „Log4j 2.15.0“ ir naujesnės versijos naudotojų problemas, nes pagal numatytuosius nustatymus jie išjungia elgseną. Ekspertai nuolat bando pasverti, kaip sumažinti šios grėsmės riziką ir apsaugoti sistemas. „Microsoft“ ir „Cisco“ taip pat paskelbė įspėjimus dėl trūkumo.
LunaSec tai paminėjo Minecraft jau pareiškė, kad vartotojai gali atnaujinti žaidimą, kad išvengtų problemų. Kiti atvirojo kodo projektai, tokie kaip Paper, taip pat išleidžia pataisas problemai išspręsti .
„Cisco“ ir „VMware“ taip pat išleido paveiktų produktų pataisas. Daugelis didžiųjų technologijų įmonių dabar viešai iškėlė problemą ir pasiūlė saugumo priemones savo vartotojams bei darbuotojams. Tiesiog reikia jų griežtai laikytis.
Ką ekspertai sako apie „Log4j“ pažeidžiamumą?
Dėl Log4j pažeidžiamumo sistemos administratoriai ir saugos specialistai savaitgalį suglumino. „Cisco“ ir „Cloudflare“ pranešė, kad įsilaužėliai naudojasi šia klaida nuo šio mėnesio pradžios. Tačiau ketvirtadienį „Apache“ atskleidus informaciją, skaičiai smarkiai išaugo.
Paprastai įmonės tokius trūkumus sprendžia privačiai. Tačiau šio pažeidžiamumo poveikio spektras buvo toks platus, kad įmonės turėjo apie tai atkreipti dėmesį viešai. Net JAV vyriausybės kibernetinio saugumo sparnas paskelbė rimtą įspėjimą.
Šeštadienį tai pasakė Jen Easterly, JAV kibernetinio saugumo ir infrastruktūros saugumo agentūros direktorė Pažeidžiamumu jau naudojasi „augantis grėsmių veikėjų rinkinys“, šis trūkumas yra vienas rimčiausių per visą savo karjerą, jei ne pats rimčiausias.
Tai sako nepriklausomas saugumo tyrinėtojas Chrisas Frohoffas Beveik neabejotina, kad daug metų žmonės, galvodami apie naujas vietas, kur įdėti išnaudojimo eilutes, atras ilgą naujos pažeidžiamos programinės įrangos uodegą. Tikriausiai tai ilgą laiką bus rodoma tinkintų įmonių programų vertinimuose ir skverbties testuose.
Ekspertai mano, kad nors svarbu žinoti apie neišvengiamą ilgalaikį pažeidžiamumo poveikį, pirmiausia reikia imtis kuo daugiau veiksmų, kad būtų sumažinta žala.
Kadangi užpuolikai dabar ieškos kūrybiškesnių būdų atrasti ir išnaudoti kuo daugiau sistemų, šis baisus trūkumas ir toliau kels naikinimą internete daugelį metų!
