Błąd bezpieczeństwa w bibliotece Apache Log4j okazał się wyjątkowo niebezpieczny dla wielu firm I przedsiębiorstw. Jakie kroki podjąć aby uniknąć zagrożenia związanego z tą podatnością?
- Czym jest Apache Log4j
Apache Log4j jest biblioteką języka programowania Java, której głównym założeniem jest tworzenie logów podczas działania aplikacji. Ta wieloplatformowa biblioteka powstała z myślą ułatwienia sprawdzenia wartości danych zmiennych, stanu w którym obecnie znajduje się aplikacja. Warto tutaj dodać, że jest to jedna z bibliotek z której komercyjnie korzysta wiele aplikacji.
- Podatność Log4j i jej konsekwencje
Krytyczna podatność znaleziona w bibliotece Log4j pozwala na zdalne wykonanie kodu z uprawnieniami danej aplikacji. Daje to atakującemu możliwość pobrania ładunku ze zdalnego serwer i wykonania go lokalnie. Wykorzystanie powstałej słabości jest dla hakerów bardzo proste I pozwala skanować dostępne usługi w celu prób wykorzystania płatności. Jeden z ataków wykorzystujących podatność Log4j jest może wyglądać następująco:
- Aplikacja loguje zdarzenia takie jak niepoprawne logowania użytkownika zapisując wartości takie jak login czy email
- Haker loguje się podając złośliwy payload (fragment przesyłanych danych) jako nazwę użytkownika używając serwer kontrolowany przez atakującego
- W log4j pojawia się luka, której przyczyną jest payload przez co serwer wysyła żądanie poprzez JNDI(Java Naming and Directory Interface – interfejs usług katalogowych)
- W odpowiedzi atakujący zyskuje ścieżkę do zdalnego pliku klasy Java, która jest aplikowana do procesora serwera
- Zaaplikowany payload pozwala hakerom na wykonanie dowolnego kodu
Konsekwencją takiego ataku jest uzyskanie dostępu przez napastnika do wykonywania dowolnych poleceń na serwerze.
- Kto jest narażony?
Wektor ataku nie ogranicza się jedynie do aplikacji webowych, przez co w konsekwencji wszystkie aplikacje napisane w języku Java, które korzystają z biblioteki Apache Log4j są narażone. Dodatkowo podatność ta występuje niezależnie od wykorzystywanej wersji Java Development. Niemniej jednak do skutecznego ataku dojdzie podczas wysyłania przez atakującego odpowiedniej komunikacji protokołem HTTP/HTTPS czy innym.
- Rekomendacje
Po wykryciu podatności najbardziej rekomendowaną wersją jest wersja biblioteki Log4j jest 2.16.0. Priorytetem jest sprawdzenie i załatanie systemów dostępnych w internecie oraz zasoby krytyczne dla działania firmy lub organizacji. Kolejnym ważnym krokiem są aktualizacje oprogramowania. Są to jednak rzeczy, którymi powinni się zająć specjaliści.
Chcąc uniknąć zagrożenia warto skorzystać z usług wykrywających podatność Log4j takich jak oprogramowanie ReconMore. Analiza infrastruktury poprzez ReconMore sprawdzi czy pojawiają się w niej log4j i wykryje wszelkie niedoskonałości. Takie skanowanie pozwoli zapobiec niechcianym zagrożeniom związanym z podatnością Log4j.
Pierwsze ataki skierowane na podatne serwery są już za nami. Podatność Log4j jest wyjątkowo złośliwa i łatwa do wykorzystania. Wszystko to sprawia, że usterką należy zająć się natychmiast, w celu rekonfiguracji rejestratora i zapobieganiu dalszemu wykorzystaniu w ataku.
Bezpieczeństwo IT
Ciągłość działania
Data Center