WND-RPSL.03.02.00-24-02D8/20-002 (WNIOSEK UE)
Udoskonalenie usługi hostingu serwerów wirtualnych wraz z dodaniem do niej usług zwiększających bezpieczeństwo danych
Suma projektu 3 689 508,00 PLN (kliknij, aby przeczytać więcej)

Podatność Log4j – jak uniknąć zagrożenia

Błąd bezpieczeństwa w bibliotece Apache Log4j okazał się wyjątkowo niebezpieczny dla wielu firm I przedsiębiorstw. Jakie kroki podjąć aby uniknąć zagrożenia związanego z tą podatnością?

 

  1. Czym jest Apache Log4j

Apache Log4j jest biblioteką języka programowania Java, której głównym założeniem jest tworzenie logów podczas działania aplikacji. Ta wieloplatformowa biblioteka powstała z myślą ułatwienia sprawdzenia wartości danych zmiennych, stanu w którym obecnie znajduje się aplikacja. Warto tutaj dodać, że jest to jedna z bibliotek z której komercyjnie korzysta wiele aplikacji.

 

  1. Podatność Log4j i jej konsekwencje

Krytyczna podatność znaleziona w bibliotece Log4j pozwala na zdalne wykonanie kodu z uprawnieniami danej aplikacji. Daje to atakującemu możliwość pobrania ładunku ze zdalnego serwer i wykonania go lokalnie. Wykorzystanie powstałej słabości jest dla hakerów bardzo proste I pozwala skanować dostępne usługi w celu prób wykorzystania płatności. Jeden z ataków wykorzystujących podatność Log4j jest może wyglądać następująco:

  • Aplikacja loguje zdarzenia takie jak niepoprawne logowania użytkownika zapisując wartości takie jak login czy email
  • Haker loguje się podając złośliwy payload (fragment przesyłanych danych) jako nazwę użytkownika używając serwer kontrolowany przez atakującego
  • W log4j pojawia się luka, której przyczyną jest payload przez co serwer wysyła żądanie poprzez JNDI(Java Naming and Directory Interface – interfejs usług katalogowych)
  • W odpowiedzi atakujący zyskuje ścieżkę do zdalnego pliku klasy Java, która jest aplikowana do procesora serwera
  • Zaaplikowany payload pozwala hakerom na wykonanie dowolnego kodu

Konsekwencją takiego ataku jest uzyskanie dostępu przez napastnika do wykonywania dowolnych poleceń na serwerze.

 

 

  1. Kto jest narażony?

Wektor ataku nie ogranicza się jedynie do aplikacji webowych, przez co w konsekwencji wszystkie aplikacje napisane w języku Java, które korzystają z biblioteki Apache Log4j są narażone. Dodatkowo podatność ta występuje niezależnie od wykorzystywanej wersji Java Development. Niemniej jednak do skutecznego ataku dojdzie podczas wysyłania przez atakującego odpowiedniej komunikacji protokołem  HTTP/HTTPS czy innym.

 

  1. Rekomendacje

Po wykryciu podatności najbardziej rekomendowaną wersją jest wersja biblioteki Log4j  jest 2.16.0. Priorytetem jest sprawdzenie i załatanie systemów dostępnych w internecie oraz zasoby krytyczne dla działania firmy lub organizacji. Kolejnym ważnym krokiem są aktualizacje oprogramowania. Są to jednak rzeczy, którymi powinni się zająć specjaliści.

Chcąc uniknąć zagrożenia warto skorzystać z usług wykrywających podatność Log4j takich jak oprogramowanie ReconMore. Analiza infrastruktury poprzez ReconMore sprawdzi czy pojawiają się w niej log4j i wykryje wszelkie niedoskonałości. Takie skanowanie pozwoli zapobiec niechcianym zagrożeniom związanym z podatnością Log4j.

Pierwsze ataki skierowane na podatne serwery są już za nami. Podatność Log4j jest wyjątkowo złośliwa i łatwa do wykorzystania. Wszystko to sprawia, że usterką należy zająć się natychmiast, w celu rekonfiguracji rejestratora i zapobieganiu dalszemu wykorzystaniu w ataku.