Sari la conținut

Log4Shell

De la Wikipedia, enciclopedia liberă
Log4Shell
Identificatori CVECVE-2021-44228  Modificați la Wikidata
Data anunțului[1]  Modificați la Wikidata
Data descoperirii  Modificați la Wikidata
Descoperit deAlibaba Cloud[*][[Alibaba Cloud (Chinese cloud computing company)|​]]  Modificați la Wikidata
Software afectatLog4j  Modificați la Wikidata

Log4Shell, cunoscută și prin numărul CVE⁠(d) care i s-a atribuit, CVE-2021-44228, este o vulnerabilitate cu execuție de cod arbitrar⁠(d) de zero zile a popularului framework de logging din Java⁠(d) Log4j.[2][3] Vulnerabilitatea a fost dezvăluită Fundației Apache de către echipa de cloud security de la Alibaba pe și publicată pe .[4][5][6]

Vulnerabilitatea profită de faptul că Log4j execută fără să verifice cereri LDAP și JNDI⁠(d).[7][2][8] Acest lucru permite atacatorilor să execute cod Java arbitrar pe un server sau pe alt computer.[6] Printre serviciile afectate se numără Cloudflare, iCloud, ediția Java a lui Minecraft și Steam.[7] Lunasec a caracterizat vulnerabilitatea drept „o eroare de proiectare de proporții catastrofale”,[6] iar Tenable ca „cea mai mare și mai critică vulnerabilitate din ultimul deceniu”.[9] Apache Software Foundation, care administrează proiectul Log4j, a acordat vulnerabilității Log4Shell un rating CVSS⁠(d) de 10, cel mai mare scor posibil.[10]

Log4j este un framework de înregistrare open source care permite dezvoltatorilor de software să înregistreze diverse date în aplicația lor pe măsură ce aceasta rulează. Aceste date pot include și date de intrare primite de la utilizator.[11] Este folosit în multe locuri în aplicații Java, în special în software enterprise.[6] Scrisă inițial în 2001 de Ceki Gülcü, acum face parte din Apache Logging Services, un proiect al Apache Software Foundation.[12]

Remedieri pentru această vulnerabilitate au fost lansate pe , cu trei zile înainte de publicarea vulnerabilității, în Log4j versiunea 2.15.0-rc1.[13] Remedierea a inclus restricționarea serverelor și protocoalelor care pot fi utilizate pentru căutări, care pot fi configurate folosind mai multe proprietăți ale sistemului. Aceasta a înlocuit proprietatea de sistem log4j2.formatMsgNoLookups, care se recomandă să fie utilizată pentru a atenua vulnerabilitatea în versiunile anterioare, setând-o la true.[14][8][10] În plus, toate feature-urile care utilizează JNDI⁠(d), pe care se bazează această vulnerabilitate, vor fi dezactivate în mod implicit începând cu versiunea 2.15.1.[15]

Versiunile mai noi de JRE⁠(d) atenuează și ele această vulnerabilitate, blocând încărcarea implicită de cod de la distanță, deși vectorii de atac încă există în anumite aplicații.[2][16]

Răspuns și impact

[modificare | modificare sursă]

În Statele Unite, directorul Cybersecurity and Infrastructure Security Agency⁠(d) (CISA), Jen Easterly, a caracterizat exploitul drept „critic” și a sfătuit furnizorii de servicii să acorde prioritate actualizărilor de software,[17] iar Centrul Canadian pentru Securitate Cibernetică⁠(d) (CCC) a cerut organizațiilor să ia măsuri imediate.[18] Agenția germană similară Bundesamt für Sicherheit in der Informationstechnik⁠(d) (BSI) a clasificat exploitul la cel mai înalt nivel de amenințare, afirmând că situația este „[una] de amenințare extrem de critică”. De asemenea, a raportat că mai multe atacuri au avut deja succes și că este greu de evaluat impactul real al acestei situații.[19][20]

Potrivit firmei de securitate cibernetică GreyNoise, mai multe adrese IP făceau scraping⁠(d)  — încercau site-uri web pentru a verifica dacă serverele au sau nu vulnerabilitatea.[21] Canada Revenue Agency⁠(d) și-a închis temporar serviciile online după ce a aflat despre vulnerabilitate, în timp ce guvernul Quebecului a închis aproape 4000 de site-uri web ca „măsură preventivă”.[22]

Administratorii de sistem au fost sfătuiți să evalueze situația și să pună în aplicare măsuri de atenuare cât mai repede posibil, fie prin actualizarea bibliotecii, fie prin dezactivarea lookupurilor folosind proprietatea de sistem.[23]

  1. ^ Lily Hay Newman (), ‘The Internet Is on Fire’ (în engleză), Wired 
  2. ^ a b c „Log4Shell: RCE 0-day exploit found in log4j 2, a popular Java logging package”. www.lunasec.io (în engleză). . Accesat în . 
  3. ^ „CVE - CVE-2021-44228”. cve.mitre.org. Accesat în . 
  4. ^ „Log4Shell Vulnerability is the Coal in our Stocking for 2021”. McAfee (în engleză). . Accesat în . 
  5. ^ „Worst Apache Log4j RCE Zero day Dropped on Internet”. www.cyberkendra.com. . Accesat în . 
  6. ^ a b c d Newman, Lily Hay. 'The Internet Is on Fire'. Wired (în engleză). ISSN 1059-1028. Accesat în . 
  7. ^ a b „Countless Servers Are Vulnerable to Apache Log4j Zero-Day Exploit”. www.pcmag.com (în engleză). Accesat în . 
  8. ^ a b Goodin, Dan (). „Zero-day in ubiquitous Log4j tool poses a grave threat to the Internet”. Ars Technica (în engleză). Accesat în . 
  9. ^ Press, Associated (). „Recently uncovered software flaw 'most critical vulnerability of the last decade'. The Guardian (în engleză). Accesat în . 
  10. ^ a b „Log4j – Apache Log4j Security Vulnerabilities”. logging.apache.org. Accesat în . 
  11. ^ Yan, Tao; Deng, Qi; Zhang, Haozhe; Fu, Yu; Grunzweig, Josh (). „Another Apache Log4j Vulnerability Is Actively Exploited in the Wild (CVE-2021-44228)”. Unit 42. Palo Alto Networks⁠(d). 
  12. ^ „Log4j – Apache Log4j 2”. logging.apache.org. Accesat în . 
  13. ^ „Restrict LDAP access via JNDI by rgoers - Pull Request #608 - apache/logging-log4j2”. GitHub (în engleză). . Accesat în . 
  14. ^ „LOG4J2-3198: Log4j2 no longer formats lookups in messages by default”. GitHub (în engleză). . 
  15. ^ „LOG4J2-3208: Disable JNDI by default”. issues.apache.org. . 
  16. ^ „Java(TM) SE Development Kit 8, Update 121 (JDK 8u121) Release Notes” (în engleză). Accesat în . 
  17. ^ „STATEMENT FROM CISA DIRECTOR EASTERLY ON "LOG4J" VULNERABILITY”. CISA. . 
  18. ^ „Statement from the Minister of National Defence on Apache Vulnerability and Call to Canadian Organizations to Take Urgent Action”. Government of Canada (în engleză). . Arhivat din original la . Accesat în . 
  19. ^ „BSI warnt vor Sicherheitslücke”. Tagesschau⁠(d). . 
  20. ^ „Warnstufe Rot: Schwachstelle Log4Shell führt zu extrem kritischer Bedrohungslage” [Red alarm: Log4Shell vulnerability causes extremely critical threat situation]. BSI⁠(d) press service (în germană). . 
  21. ^ „Apache Log4j RCE Attempts”. www.greynoise.io. Accesat în . 
  22. ^ „Facing cybersecurity threats, Quebec shuts down government websites for evaluation”. CBC News⁠(d). . Accesat în . 
  23. ^ „Apache Releases Log4j Version 2.15.0 to Address Critical RCE Vulnerability Under Exploitation”. CISA. Accesat în . 

Legături externe

[modificare | modificare sursă]