Czym jest vulnerability Apache Log4j (Log4Shell)?
Zlikwiduj silosy danych i oprzyj system ochrony na jednej platformie cyberbezpieczeństwa.
Log4Shell (CVE-2021-44228, CVE-2021-45046 i CVE-2021-45105) to podatność (luka w zabezpieczeniach) umożliwiająca zdalne wykonanie kodu (RCE) Java i przejęcie kontroli nad docelowym serwerem.
Ogólne informacje o vulnerability Log4j/Log4Shell
2021 był rokiem obfitującym w luki w zabezpieczeniach typu zero-day, a na koniec do długiej listy zagrożeń doszła krytyczna wada Log4Shell znaleziona w powszechnie używanej bibliotece dzienników opartej na języku Java – Apache Log4j. Jej oficjalny identyfikator to CVE-2021-44228. Zgodnie z systemem Common Vulnerability Scoring System (CVSS w wer. 3.1) poziom zagrożenia, jakie stanowi, to 10 w 10-stopniowej skali.
Podatność najpierw zgłoszono Apache, nie publikując informacji, 24 listopada 2021 r. 9 grudnia 2021 r. informacje o Log4Shell zostały upublicznione wraz ze wstępną poprawką 2.15.0 do Apache Log4j.
Kolejne wiadomości o zaobserwowanych atakach spowodowały wydanie ostrzeżeń przez kilka krajowych agencji ds. cyberbezpieczeństwa, w tym US Cybersecurity and Infrastructure Security Agency (CISA), UK National Cyber Security Center (NCSC) oraz Canadian Center for Cyber Security. W związku z popularnością Apache Log4j problem może dotyczyć milionów urządzeń.
Jak działa Log4Shell
Log4Shell to podatność (luka w zabezpieczeniach) interfejsu Java Naming and Directory Interface™ (JNDI) umożliwiająca wstrzyknięcie i zdalne wykonanie kodu (RCE). Wprowadzając niezaufane dane (takie jak złośliwe ładunki) do rejestrowanej wiadomości w wersji Apache Log4j, której dotyczy problem, atakujący może nawiązać połączenie ze złośliwym serwerem przy użyciu wyszukiwania JNDI. Wskutek tego uzyskuje pełny dostęp do systemu z dowolnego miejsca na świecie.
W związku z tym, że wyszukiwanie JNDI obsługuje wiele różnych typów usług katalogowych, takich jak DNS (Domain Name Service), LDAP (Lightweight Directory Access Protocol), które zapewniają cenne informacje, jako urządzenia sieciowe organizacji, RMI (Remote Method Invocation) oraz IIOP (Inter-ORB Protocol), Log4Shell może prowadzić do innych zagrożeń, do których należą:
- Wydobywanie kryptowalut: Atakujący mogą wykorzystać Twoje zasoby do wydobywania kryptowalut. To zagrożenie może być dość kosztowne, ponieważ wymaga ogromnej mocy obliczeniowej do obsługi usług i aplikacji w chmurze.
- Sieciowa odmowa usługi (DoS): To zagrożenie pozwala atakującym na zablokowanie/wyłączenie sieci, strony internetowej lub usługi, tak aby były niedostępne dla organizacji będącej celem ataku.
- Ransomware: Po zdalnym wykonaniu kodu atakujący mogą zebrać i zaszyfrować dane w celu uzyskania okupu.
Poniżej przedstawiono przykładowy łańcuch infekcji:
Zagrożone produkty, aplikacje i wtyczki
Zasadniczo każde urządzenie łączące się z Internetem, na którym działa Apache Log4j w wersjach od 2.0 do 2.14.1. Wersje te są częścią rozwiązań Apache Struts, Apache Solr, Apache Druid, Elasticsearch, Apache Dubbo i VMware vCenter.
Poprawki i migracja
Aby usunąć podatność organizacja Apache opublikowała Apache Log4j w wersji 2.15.0. Ta wersja działała jednak tylko z językiem Java 8. Użytkownicy wcześniejszych wersji musieli dwukrotnie zastosować tymczasowe złagodzenie. W czasie publikacji aktualną wersją udostępnioną przez Apache była 2.16.0, a organizacja stanowczo zalecała użytkownikom jak najszybsze zaktualizowanie potencjalnie zagrożonych bibliotek.
Zdecydowanie zachęca się również do skorzystania z innych strategii łagodzenia, takich jak wdrożenie wirtualnych poprawek i korzystanie z systemu wykrywania włamań i zapobiegania im (IDS/IPS). Wirtualne poprawki osłaniają luki w zabezpieczeniach przed dalszym wykorzystaniem, a system IDS/IPS monitoruje ruch przychodzący i wychodzący pod kątem podejrzanych zachowań.
Log4Shell i hakerzy
Początkowy dostęp
Ta luka została spowodowana przez mechanizm „lookup” w Log4j 2.x. Wyszukuje on znaki ${ w logach i wywołuje funkcję „lookup”, umożliwiając wykorzystanie takich form jak zapytania JNDI (np. ${jndi:logging/context-name}), które obsługują protokoły takie jak LDAP i RMI. Atakujący może użyć serwera LDAP z złośliwą klasą Java do zdalnego wykonania kodu.
Wykonanie
Jeśli exploit się powiedzie, serwer interpretuje ciąg lookup i może wykonać dowolne polecenia w formatach Java, JavaScript lub powłoki Unix.
Lateral movement
Mogą zostać pobrane komponenty Cobeacon, znane z ułatwiania ruchu bocznego i powiązane z atakami ransomware.
Dostęp do poświadczeń
Malware, takie jak Kirabash, może kraść dane logowania poprzez eksfiltrację plików /etc/passwd i /etc/shadow.
Skutki
Zaobserwowane ładunki obejmują botnet Mirai oraz koparkę kryptowalut Kinsing. Skutki to m.in.:
Przejęcie zasobów: koparki kryptowalut zużywają zasoby systemowe; Mirai może wykorzystywać zainfekowane systemy jako część botnetu.
Ataki DoS: Mirai może przeprowadzać ataki DDoS/DoS z wykorzystaniem przejętych systemów.
Skala zagrożenia Log4Shell
Log4Shell została odkryta przez badaczy z Alibaba 24 listopada 2021 r. i otrzymała najwyższą możliwą ocenę w systemie CVSS – 10,0. Jako luka typu zero-day w powszechnie stosowanej bibliotece Log4J, stanowiła poważne i natychmiastowe zagrożenie, zanim pojawiła się poprawka.
Szerokie wykorzystanie Log4J w aplikacjach internetowych, usługach chmurowych i systemach użytkowników końcowych oznaczało, że ponad 90% środowisk chmurowych było narażonych. Wiele organizacji nawet nie wiedziało, że są zagrożone, ponieważ Log4J był używany jako zależność pośrednia.
To, co czyniło Log4Shell szczególnie niebezpieczną, to łatwość wykorzystania – nie były wymagane żadne specjalne uprawnienia. Atakujący mogli wstrzykiwać złośliwy kod za pomocą prostych formularzy użytkownika, takich jak pola logowania czy czaty. Po aktywacji, kod mógł być przekazywany dalej w systemie.
Do 9 grudnia w sieci pojawił się publiczny kod exploitujący lukę, a duże firmy, takie jak Minecraft, Twitter i Cisco, padły ofiarą ataków. W szczytowym momencie notowano ponad 100 ataków na minutę na całym świecie.
Hakerzy wykorzystywali lukę do rozprzestrzeniania botnetów, koparek kryptowalut i ransomware (np. Khonsari, Night Sky), a także obserwowano grupy wspierane przez państwa, takie jak Chiny czy Korea Północna, korzystające z tego zagrożenia.
Trend Micro Vision One Platform
Szybsze powstrzymywanie przeciwników i przejęcie kontroli nad ryzykiem cybernetycznym wymaga zintegrowanego podejścia. Powszechnie znana luka w Log4J pokazała, jak łatwo atakujący mogą wykorzystać nawet najprostsze komponenty, co sprawia, że proaktywna i zintegrowana obrona jest kluczowa.
Trend Vision One oferuje możliwości zapobiegania, wykrywania i reagowania oparte na sztucznej inteligencji, wspierane przez wiodące źródła informacji o zagrożeniach. Obsługuje hybrydowe środowiska IT, automatyzuje przepływy pracy w zakresie bezpieczeństwa i upraszcza operacje – dzięki czemu możesz zmniejszyć złożoność, zamknąć luki i wyprzedzać rozwijające się zagrożenia.
Apache Log4j
Powiązane badania
Powiązane artykuły