Největší technologické společnosti ohrožuje kritická zero-day zranitelnost Log4Shell
Zpět na blogSeznam internetových služeb, které jsou zranitelné kritickou zranitelností nultého dne v open source logovacím nástroji Log4j, je obrovský a vypadá jako přehlídka těch největších technologických gigantů současnosti: figurují zde jména, jako jsou Apple, Amazon, Cloudflare, Steam, Tesla, Twitter a Baidu.
Zero-day ve všudypřítomném nástroji Log4j představuje vážnou hrozbu. Zranitelnost, která nyní nese název Log4Shell, vyšla najevo koncem minulého týdne a první na ni upozornili výzkumníci společnosti LunaSec. Problém byl objeven v Minecraftu, který patří společnosti Microsoft, ačkoli LunaSec varuje, že „mnoho, mnoho služeb“ je zranitelných vůči tomuto zneužití kvůli „všudypřítomnosti“ Log4j. Důvodem je, že tato konkrétní open-source knihovna Java se používá téměř ve všech hlavních podnikových aplikacích a serverech založených na Javě.
Zranitelnost oficiálně označovaná jako CVE-2021-44228 může útočníkovi umožnit ovládat a spouštět „libovolný kód“ a získat přístup k počítačovému systému. Při zneužití může útočník dokonce získat úplnou kontrolu nad serverem. Knihovna Log4j v jazyce Java slouží k uchovávání záznamů o všech činnostech v aplikaci, a proto ji velmi často používají vývojáři softwaru po celém světě.
Technická definice v knihovně CVE uvádí, že „Útočník, který může ovládat zprávy protokolu nebo parametry zpráv protokolu, může spustit libovolný kód načtený ze serverů LDAP, pokud je povoleno nahrazování vyhledávání zpráv.“. Znepokojující je, že tento exploit byl pravděpodobně použit k neoprávněnému získání přístupu k některým počítačovým systémům a nyní, když je exploit veřejně známý, jej společnosti musejí rychle opravit.
Na internetu se objevila kompilace snímků obrazovky, která dokumentuje, jak některé z nejoblíbenějších a nejdůvěryhodnějších cloudových služeb na světě reagují, když jsou jim podány parametry použité při útoku. Snímky ukazují službu pro detekci úniku systému doménových jmen s názvem dnslog.cn, která zjišťuje, zda cílová cloudová služba provádí vyhledávání DNS. Ukázalo se, že daná služba přijímá připojení ze stroje ovládaného útočníkem (což dokládá protokol IP připojení). Za normálních okolností by zadávání něčeho do pole s uživatelským jménem nikdy nemělo vytvářet žádná externí síťová připojení, takže skutečnost, že se tak děje, dokazuje, že je zde použit Log4j, a že tedy server může být zranitelný vůči útoku na vzdálené spuštění kódu.
Nejlepším řešením je v tuto chvíli aktualizace Log4J. Pro velké podniky to však často není tak jednoduché. Desítky společností zabývajících se zabezpečením zveřejnily pokyny, jak postupovat. Rady společností Microsoft a Sophos najdete zde a zde.
Zdroj: Arstechnica.com
14. 12. 2021