Какво представлява уязвимостта Log4Shell?

Какво представлява уязвимостта Log4Shell?

Защо новината за нея напрегна толкова технологичните компании

Александър Главчев
658 прочитания

Уязвимост в широко използван интернет софтуер, известна като Log4Shell, активизира специалисти по сигурност и системни администратори в частни компании и държавни структури по целия свят. Новината за нея избухна миналата седмица и тя идва с потенциал за опустошителни кибератаки, предупредиха експерти.

Експлойтите, възползващи се от новооткритата уязвимост, вече се тестват от хакери според няколко доклада и това им предоставя достъп до приложения и облаци, като потенциално може да им позволи да стартират зловреден софтуер на устройства и сървъри.

Уязвимостта за първи път е открита в края на ноември от Чен Джаоджун, член на екипа Alibaba Cloud Security, но за нея се заговори масово едва няколко седмици по-късно. Тя получи "прякора" Log4Shell, като официалното ѝ обозначение е CVE-2021-44228.

Log4Shell идва от Log4j - софтуерна рамка с отворен код, използвана за записване на потребителска активност и поведение на приложения. Разпространява се безплатно от нестопанската организация Apache Software Foundation, изтеглена е милиони пъти и е сред най-широко използваните инструменти за събиране на информация в корпоративни компютърни мрежи, уебсайтове и приложения.

Технологични компании, сред които Apple, Microsoft и Google, разчитат на тази библиотека, както и корпоративните приложения от Cisco, Netapp, CloudFare, Amazon и др.

Уязвимостта е сериозна, тъй като използването й може да позволи на хакери да контролират базирани на Java уеб сървъри и да стартират така наречените атаки за "отдалечено изпълнение на код" (Remote Code Execution - RCE). С прости думи, уязвимостта може да позволи на хакер да поеме контрол върху системата. Според анализатори това, което прави проблема толкова сериозен, е, че библиотеката е повсеместна. Експлойтите, базирани на Log4Shell, дават пълен контрол и са лесни за изпълнение.

Използвана ли е вече от хакери?

От Check Point Research отбелязаха миналата седмица, че засега повечето от атаките, които са наблюдавали, са фокусирани върху дистанционно "копаене" на криптовалути на изчислителни ресурси на жертвите. В петък обаче от там допълниха, че са проследили повече от 3,8 млн. опита на хакери да локализират уязвимостта, насочени към почти половината от мрежите на техните корпоративни клиенти.

Компанията за сигурност F-Secure заяви, че нейни анализатори са наблюдавали варианти на криптовируси, които вече са взели Log4Shell "на въоръжение".

От Mandiant и Microsoft пък съобщиха за опити за атаки от страна хакери със съмнения за връзки с Китай и Иран. Microsoft съобщи, че една от групите е същата, която е отговорна за хакването на нейния имейл продукт Exchange Server по-рано тази година. Тогава САЩ обвиниха за инцидента Китай, а от Пекин отрекоха да са замесени.

Какво съобщават засегнати компании?

Списък със засегнатите софтуерни проекти е публикуван от екипа за сигурност на Apache. Сред засегнатите търговски услуги са Amazon Web Services, Cloudflare, iCloud, играта Minecraft: Java Edition, гейм платформата Steam, Tencent QQ и много други.

Minecraft, която собственост на Microsoft, бе сред първите, които съобщиха уязвимостта, като предупредиха, че Java версията играта е изложена на голям риск от компрометиране. В изявлението на компанията се допълва, че експлойтът "отстранен и всички клиентски версии са пачнати", но потребителите все пак ще трябва да предприемат допълнителни стъпки, за да защитят собствените си сървъри.

От Google обявиха миналата седмица, че оценяват потенциалното въздействие на уязвимостта за продуктите и услугите си. "Ситуацията е в развитие и ние ще продължим да предоставяме актуализации чрез нашите канали за комуникация с клиенти."

NetApp, която предоставя решения за управление на данни в облака, също публикува изявление, че продуктите ѝ са уязвими, добавяйки, че "успешно използвано, уязвимостта може да доведе до разкриване на чувствителна информация, добавяне или промяна на данни или DoS-атаки".

Cisco заяви, че няколко от нейните продукти, включително популярния продукт Webex Meeting, са уязвими и че разследва дали други са изложени на риск.

Компанията за уеб инфраструктура Cloudfare също публикува изявление, в което приканва клиентите да актуализират версиите си на Log4j.

VMware публикува съобщение, в което се казва, че там също са отчели опити за използване на уязвимостта и някои от нейните ключови продукти са засегнати от нея.

Справяне с проблема

Официална поправка за Log4j, адресираща уязвимостта, е пусната от Apache още на 6 декември. Прилагането ѝ навсякъде обаче ще отнеме време.

От американската Агенция за киберсигурност и сигурност на инфраструктурата (CISA) приканват компаниите да идентифицират свързаните с интернет устройства, използващи Log4j, и да се следи за сигнали, свързани с тяхната сигурност. Препоръчва се инсталиране защитна стена за уеб приложения с правила, които автоматично да се актуализират, така че екипите да могат да се концентрират върху по-малък брой сигнали.

От Wall Street Journal цитират Тереза Уолш от Центъра за споделяне и анализ на информация за финансовите услуги (FS-ISAC), която препоръчва на компаниите да ограничат ненужния изходящ интернет трафик, което би допринесло за защитата на уязвимите системи.

Уязвимост в широко използван интернет софтуер, известна като Log4Shell, активизира специалисти по сигурност и системни администратори в частни компании и държавни структури по целия свят. Новината за нея избухна миналата седмица и тя идва с потенциал за опустошителни кибератаки, предупредиха експерти.

Експлойтите, възползващи се от новооткритата уязвимост, вече се тестват от хакери според няколко доклада и това им предоставя достъп до приложения и облаци, като потенциално може да им позволи да стартират зловреден софтуер на устройства и сървъри.

С използването на сайта вие приемате, че използваме „бисквитки" за подобряване на преживяването, персонализиране на съдържанието и рекламите, и анализиране на трафика. Вижте нашата политика за бисквитките и декларацията за поверителност. ОК