Log4shell. este cea mai recentă vulnerabilitate care aduce în minte mulți administratori care au văzut cum serverele lor sunt vulnerabile la atacuri de la distanță. Este un defect grav de securitate, care poate fi exploatat într-un mod simplu. De asemenea, poate afecta un număr mare de utilizatori. S-a descoperit că afectează serviciile cloud, cum ar fi Apple iCloud sau Aburi. În acest articol vă explicăm ce este exact, cum funcționează și bineînțeles ce trebuie făcut pentru a rezolva această problemă.
Ce este Log4Shell
Este o vulnerabilitate care afectează populara bibliotecă de registru Java log4j , Dezvoltat de Apache . Este utilizat pe scară largă în toate tipurile de servicii și software. De exemplu, în jocuri precum Minecraft, pe lângă serviciile cloud. Este folosit pentru aplicații pentru a stoca o înregistrare sau un jurnal în timpul funcționării lor.
Putem spune că această problemă afectează milioane de servere in jurul lumii. Toți sunt vulnerabili și pot fi atacați de la distanță. Prin exploatarea defectului Log4Shell, un atacator ar putea să introducă malware și să preia controlul deplin asupra acelui server. Practic, ar avea mâna liberă să facă tot ce vrea.
Vulnerabilitatea a fost înregistrată ca CVE-2021-44228 si un scor CVSS de 10. Pentru a-l exploata, atacatorul are nevoie pur si simplu ca aplicatia sa inregistreze un sir special, o serie de caractere. Cercetătorul în securitatea computerelor, Matthew Prince, pe el Twitter profil, raportează dovezi că exploit-ul a fost disponibil cu cel puțin 9 zile înainte de publicarea sa, deși nu există dovezi că a fost utilizat pe scară largă până atunci.
Cu toate acestea, acum există mulți atacatori care exploatează vulnerabilitatea Log4Shell și sunt capabili să-și desfășoare atacurile. Ei pot, de exemplu, să instaleze mineri de criptomonede pe un server sau să transforme dispozitivele afectate într-un botnet.
Cum se detectează această vulnerabilitate
Se estimează că Java este prezent pe aproximativ 3 miliarde de dispozitive din întreaga lume. Marea majoritate a programatorilor folosesc Log4j, așa că sunt mulți care pot fi vulnerabili la această problemă. Este posibil să știți dacă un sistem este vulnerabil la Log4Shell? Există mai multe moduri de a face acest lucru, iar una dintre cele mai ușoare este cunoașteți versiunea Log4j ai instalat. Cele vulnerabile variază de la 2.0-beta9 la 2.14.1.
În plus, pe GitHub putem găsi pașii pentru a executa comenzi și a detecta dacă vulnerabilitatea înregistrată ca CVE-2021-44228 este prezentă sau nu. Acest Scaner bazat pe Python acționează ca un detector pentru Vulnerabilitatea Log4Shell.
Putem spune că cel mai simplu mod de a detecta dacă un punct final la distanță este vulnerabil este să declanșează o DNS întrebare . Ceea ce face exploit-ul este că ipoteticul server vulnerabil încearcă să obțină cod de la distanță. Folosind adresa unui instrument de înregistrare DNS gratuit în lanțul de exploatare, putem detecta când este declanșată vulnerabilitatea. După cum explică ei în Lunasec , putem folosi CanaryTokens pentru aceasta.
Cum să o remediați pe sistemul dvs
Dacă știi că sistemul tău este vulnerabil și vrei să-l protejezi, există diferite moduri. Cel mai recomandat acum este să actualizați versiunea de Log4j la 2.15.0 , care corectează problema. Îl puteți descărca de pe oficial Site-ul Apache. Este foarte important să aveți întotdeauna cele mai recente versiuni și acesta este un exemplu clar în acest sens.
De asemenea, puteți consulta oficial Anunț de securitate Log4j, unde veți găsi toate informațiile despre pașii pentru corectarea vulnerabilității și instalarea patch-urilor necesare.
Cu toate acestea, din cauza importanței enorme a acestui defect de securitate, au apărut diferite opțiuni care au acționat ca „patch-uri momentane” și astfel au putut să corecteze sau cel puțin să reducă problema. Un exemplu este scenariu lansat de Cybereason , care se bazează pe vulnerabilitatea în sine pentru a dezactiva o configurație pe o instanță la distanță și vulnerabilă a Log4Shell.
De asemenea, o altă atenuare temporară până când a existat un patch a fost setarea parametrului log4j2.formatMsgNoLookups; la True la pornirea mașinii virtuale Java.
În cele din urmă, vulnerabilitatea Log4Shell este foarte periculoasă și a pus în pericol milioane de dispozitive din întreaga lume. Este esențial să corectați problema cât mai curând posibil și nu există nimic mai bun decât actualizarea la cea mai recentă versiune.
