Проблемите со Log4j се далеку од надминати

Пред десетина дена пропустот на популарната „Java“-библиотека Log4j ги преплаши безбедносните експерти.  За само неколку дена Apache издаде безбедносна надградба и се чинеше дека стравувањето веднаш по јавувањето на веста беше помалку претерано. Сепак сега, една недела подоцна почнуваме да ја гледаме вистинската големина на проблемот.

Што е Log4j и Log4Shell

Log4j е библиотека која е развиена и ја одржува фондацијата Apache. Програмерите ја користат за да креираат евиденција за активностите во Java-апликации.

Со пропустот се зафатени сите верзии на библиотеката од 2.0 до 2.16.0. Пропустот на 24 ноември го откри Чен Жаојун од безбедносниот тим на Alibaba Cloud.

Напаѓачот треба единствено да пронајде податок кој се внесува во логовите и може да изврши напад. На нападите кои го злоупотребуваат овој пропуст им е дадено името „Log4Shell“

Милиони апликации ја користат Log4j библиотеката за креирање на логови. Пропустите речиси веднаш беа потврдени кај iCloud, Minecraft, Steam.

Иако Apache набрзина ја издаде безбедносната закрпа се покажа дека и 2.15.0 е со безбедносен пропуст кој овозможува DoS (Denial of Service) напади кои може да ги „бутнат“ нападнатите системи. Поголем проблем е што безбедносните експерти пронајдоа начин да повлечат чувствителни податоци од серверите и со оваа надградба.

Apache издаде верзија 2.16.0 на библиотеката и ги повика сите да надградат на новата верзија. Cloudflare минатата недела објави дека пропустот на 2.15.0 верзијата активно се злоупотребува и ги повика сите веднаш да ги надградат своите системи на верзија 2.16.0.

Проблемите со Log4j продолжуваат…

Ако во текстот баравте каде е линкот до верзија 2.16.0 веројатно забележавте дека го нема. Причината за ова е едноставна, и оваа верзија доаѓа со безбедносен пропуст. Пропустот кој е забележан повторно овозможува DoS напади, но не е идентичен со претходникот. Актуелна и засега безбедна верзија на Log4j во моментов е 2.17.0. Пропустот е присутен уште од верзијата 2.0-beta9 и остана отворен со претходните две надградби.

Пропустот овој пат се однесува на „Context Map lookup“.

„Apache Log4j API поддржува замена на променливи во повиците (lookup). Внимателно креирана променлива може да предизвика паѓање на апликацијата поради неконтролирани рекурзивни замени. Напаѓач кој има контрола над командите за повик (преку Thread Context Map) може да создаде малициозна променлива, што резултира со Denial-of-Service напад (DoS)“, вели Гај Ледерфен од Trend Micro Research Team.

Агенцијата за сајбер-безбедност и безбедност на инфраструктура (CISA) им наложи на федералните цивилни оддели да ги инсталираат безбедносните закрпи најдоцна до 23 декември. Пропустот е оценет како критичен, а Log4j веќе се користи да се инсталира малициозниот код Dridex, јави Bleeping Computer.

Вистинските проблеми и досегот на пропустот ќе ги видиме во иднина

Dridex е тројанец кој во минатото се користел за крадење на податоците од платежните картички на жртвите. Новите верзии доаѓаат со можност да си преземаат и инсталираат дополнителни модули  кои овозможуваат повеќе различни напади и ширење на тројанецот. Dridex овозможува и „ransomware“ напади, што беше и едно од првите стравувања по објавувањето на пропустот во Log4j.

За инсталирање на тројанецот се користи RMI (Remote Method Invocation). Истиот метод веќе е забележано дека се користи и за напад со кој се инсталира Monero мајнер.

Инсталацијата на Dridex е следна. Напаѓачот испраќа информација со патека до малициозна јава класа. Серверот ја презема и извршува класата која ќе проба од различно URL да преземе и извршува HTA фајл преку кој се инсталира Dridex. Ако ова не успее со Windows команда, тогаш продолжува со Linux/Unix напад со преземање и извршување на Python скрипта и инсталација на друг тројанец – Meterpreter.

Веројатно најлошата вест е дека бројот на системи со пропуст е во милиони, и веројатно добар дел и натаму не ја инсталирале ниту првата закрпа. Напаѓачите се веќе активни, па речиси е извесно дека наскоро ќе има многу понепријатни вести.

Дел од безбедносните експерти се сомневаа дека првите напади може да ги очекуваме веќе од 24-ти, 25-ти декември, кога поради празниците компаниите нема да работат. Ако напаѓачите со ransomware успеат да преземат контрола реакцијата ќе биде задоцнета.

Добивај известувања
Извести ме за
guest
0 Коментари
Inline Feedbacks
View all comments
види ги сите огласи на kariera.it.mk