CISA, FBI a NSA zverejňujú spoločné poradenstvo a skener pre chyby zabezpečenia Log4j

Chyby zabezpečenia Log4j

Agentúry pre kybernetickú bezpečnosť z Austrálie, Kanady, Nového Zélandu, Spojeného kráľovstva a USA v stredu vydali spoločné odporúčanie v reakcii na rozsiahle zneužívanie viacerých zraniteľností v softvérovej knižnici Log4j Apache zločineckými protivníkmi.

“Tieto zraniteľnosti, najmä Log4Shell, sú vážne,” uviedli spravodajské agentúry v novom usmernení. “Sofistikovaní aktéri kybernetických hrozieb aktívne skenujú siete, aby potenciálne zneužili Log4Shell, CVE-2021-45046 a CVE-2021-45105 v zraniteľných systémoch. Tieto zraniteľnosti budú pravdepodobne využívané počas dlhšieho obdobia.”

Útočník môže zneužiť Log4Shell (CVE-2021-44228) odoslaním špeciálne pripravenej požiadavky na zraniteľný systém, ktorý spôsobí, že tento systém spustí svojvoľný kód. Na druhej strane CVE-2021-45046 umožňuje vzdialené spustenie kódu v určitých nepredvolených konfiguráciách, zatiaľ čo CVE-2021-45105 by mohol využiť vzdialený útočník na spôsobenie stavu odmietnutia služby (DoS).

Odkedy sa tento mesiac o zraniteľnostiach dozvedela verejnosť, neopravené servery sa dostali do obkľúčenia od skupín ransomvéru až po hackerov z národných štátov, ktorí využili útočný vektor ako prostriedok na získanie prístupu k sieťam na nasadenie majákov Cobalt Strike, kryptomínov a malvéru botnetov.

Posúdenie útokov americkým Federálnym úradom pre vyšetrovanie (FBI) tiež zvýšilo možnosť, že aktéri hrozieb začleňujú nedostatky do „existujúcich systémov kybernetického zločinu, ktoré sa snažia osvojiť si čoraz sofistikovanejšie techniky zahmlievania“. Vzhľadom na závažnosť slabých miest a pravdepodobné zvýšené využívanie sú organizácie vyzývané, aby čo najskôr identifikovali, zmiernili a aktualizovali postihnuté aktíva.

Za týmto účelom americká Agentúra pre kybernetickú bezpečnosť a bezpečnosť (CISA) tiež vydala nástroj na skenovanie na identifikáciu systémov zraniteľných voči zraniteľnosti Log4Shell, ktorý odráža podobný nástroj vydaný Koordinačným centrom CERT (CERT/CC).

Izraelská firma Rezilion zaoberajúca sa kybernetickou bezpečnosťou však v hodnotení zverejnenom tento týždeň zistila, že komerčné skenovacie nástroje nie sú dostatočne vybavené na detekciu všetkých formátov knižnice Log4j v prostredí, pretože inštancie sú často hlboko vnorené do iného kódu, čo odhalilo “slepé miesta” v takýchto nástrojoch a obmedzenia statického skenovania.

„Najväčšia výzva spočíva v detekcii Log4Shell v rámci baleného softvéru v produkčnom prostredí: Java súbory (ako Log4j) môžu byť vnorené niekoľko vrstiev hlboko do iných súborov – čo znamená, že plytké vyhľadávanie súboru ho nenájde,“ Yotam Perkal, vedúci výskumu zraniteľnosti v Rezilion, povedal. “Okrem toho môžu byť zabalené v mnohých rôznych formátoch, čo predstavuje skutočnú výzvu pri ich prekopávaní do iných balíkov Java.”

Verejné odhalenie Log4Shell tiež viedlo mnohých dodávateľov technológií k nasadeniu záplat pre softvér, ktorý obsahuje túto chybu. Najnovšie spoločnosti, ktoré vydávajú aktualizácie, sú NVIDIA a HPE, ktoré sa pripájajú k dlhému zoznamu dodávateľov, ktorí zverejnili bezpečnostné odporúčania s podrobnosťami o produktoch, ktorých sa táto chyba zabezpečenia týka.

Najnovší krok, ktorý urobili vlády, prichádza, keď Apache Software Foundation (ASF) v pondelok vydala aktualizácie pre Apache HTTP Server na odstránenie dvoch nedostatkov — CVE-2021-44790 (skóre CVSS: 9.8) a CVE-2021-44224 (skóre CVSS: 8.2) — z ktorých prvý by mohol byť vyzbrojený vzdialeným útočníkom, aby spustil svojvoľný kód a prevzal kontrolu nad postihnutým systémom.