פגם חמור מאוד ב Apache Log4j, שקוראים לו Log4Shell, הפך כעת לפגיעות האבטחה המתוקשרת ביותר באינטרנט כעת עם א ציון חומרה של 10/10 . Log4j היא ספריית Java בקוד פתוח לרישום הודעות שגיאה ביישומים, שנמצאת בשימוש נרחב על ידי אינספור חברות טכנולוגיה.
מעתה, השירותים של חברות הטכנולוגיה הגדולות סובלים כיום ממה שמומחי אבטחה מכנים אחד הפגמים הקריטיים ביותר בהיסטוריה האחרונה. פגם זה מסוגל לאפשר להאקרים גישה חסרת מעצורים למערכות מחשב.
לפי הדיווח האחרון של מיקרוסופט, לפחות תריסר קבוצות של תוקפים כבר מנסות לנצל את הפגם כדי לגנוב אישורי מערכת, להתקין כורי קריפטו במערכות מועדות, לגנוב נתונים ולחפור עמוק יותר בתוך רשתות שנפגעו.
הפגם כה חמור עד שסוכנות אבטחת הסייבר של ממשלת ארה'ב פרסמה אזהרה דחופה לכל החברות הפגיעות, והציעה להן לנקוט בצעדים יעילים באופן מיידי. גלה הכל על הפגיעות הזו של Zero-day - Log4j בפירוט, וכיצד תוכל להישאר בטוח מפניה.
עדכון : פגיעות שנייה Log4j התגלתה; תיקון שוחרר
ביום שלישי התגלתה פגיעות שנייה הקשורה ל-Apache Log4j. זה מגיע לאחר שמומחי אבטחת הסייבר בילו ימים כדי לתקן או להפחית את הראשון. השם הרשמי של הפגיעות הזו הוא CVE 2021-45046.
התיאור מציין שהתיקון לכתובת CVE-2021-44228 ב-Apache Log4j 2.15.0 לא היה שלם בתצורות מסוימות שאינן ברירת מחדל. זה עלול לאפשר לתוקפים... ליצור נתוני קלט זדוניים באמצעות דפוס בדיקת JNDI וכתוצאה מכך להתקפת מניעת שירות (DOS)
חברת האבטחה הבינלאומית ESET מציגה מפה שמראה היכן מתרחש ניצול Log4j.
מקור תמונה: מקרה
הדבר הטוב הוא שאפצ'י כבר הוציאה תיקון, Log4j 2.16.0, כדי לטפל ולתקן את הבעיה הזו. התיקון האחרון פותר את הבעיה על ידי הסרת התמיכה בדפוסי חיפוש הודעות והשבתת פונקציונליות JNDI כברירת מחדל.
מהי פגיעות Log4j?
פגיעות Log4j הנקראת גם Log4Shell היא בעיה בספריית Logj4 Java המאפשרת לנצלנים לשלוט ולהפעיל קוד שרירותי ולקבל גישה למערכת מחשב. השם הרשמי של הפגיעות הזו הוא CVE-2021-44228 .
Log4j היא ספריית Java בקוד פתוח, שנוצרה על ידי Apache, אשר אחראית לשמור תיעוד של כל הפעילויות באפליקציה. מפתחי תוכנה משתמשים בו באופן נרחב עבור היישומים שלהם. לכן, אפילו חברות הטכנולוגיה הגדולות ביותר כמו מיקרוסופט, טוויטר ואפל מועדות להתקפות כרגע.
כיצד התגלתה או נמצאה פגיעות Log4j?
הפגיעות של Log4Shell (Log4j) התגלתה לראשונה על ידי חוקרים ב-LunaSec ב-Minecraft שבבעלות מיקרוסופט. מאוחר יותר, החוקרים הבינו שלא מדובר בתקלה של Minecraft ולונסק הזהירה שהרבה מאוד שירותים פגיעים לניצול זה בגלל הנוכחות בכל מקום של Log4j
מאז הגיעו דיווחים רבים שמדבבים אותו כאחד הפגמים החמורים ביותר בתקופה האחרונה, ופגם שישפיע על האינטרנט במשך שנים רבות.
מה יכולה פגיעות Log4j לעשות?
הפגיעות של Log4j מסוגלת להעניק גישה מלאה למערכת להאקרים/תוקפים/מנצלים. הם פשוט צריכים להפעיל קוד שרירותי כדי לקבל גישה בלתי מוגבלת. פגם זה יכול גם לאפשר להם לרכוש שליטה מלאה על השרת כאשר הם מתפעלים את המערכת כראוי.
ההגדרה הטכנית של הפגם בספריית CVE (Common Vulnerabilities and Exposures) קובעת שתוקף שיכול לשלוט בהודעות יומן או פרמטרים של הודעות יומן יכול להפעיל קוד שרירותי שנטען משרתי LDAP כאשר החלפת חיפוש הודעות מופעלת.
לכן, האינטרנט נמצא בכוננות גבוהה מכיוון שהמנצלים מנסים ללא הרף לכוון למערכות חלשות.
אילו מכשירים ויישומים נמצאים בסיכון לפגיעות של Log4j?
הפגיעות של Log4j חמורה עבור כל ערמומי שמריץ Apache Log4J גרסאות 2.0 עד 2.14.1 ויש לו גישה לאינטרנט. לפי NCSC, מסגרות Apache Struts2, Solr, Druid, Flink ו- Swift כוללות את גרסאות החיבה (Log4j גרסה 2 או Log4j2).
זה מציב מספר עצום של שירותים כולל אלה של ענקיות הטכנולוגיה כמו iCloud של אפל, Minecraft של מיקרוסופט, טוויטר, Steam, Tencent, Google, Amazon, CloudFare, NetEase, Webex, LinkedIn וכו'.
מדוע הפגיעות הזו כל כך חמורה וההתמודדות איתה קשה בצורה קריטית?
פגיעות זו חמורה עד כדי כך שהאקרים מנסים יותר מ-100 פעמים בדקה לנצל את המערכות החלשות ביותר באמצעות ה-Apache Log4j2. זה מעמיד מיליוני חברות בסכנה של גניבת סייבר.
לפי הדיווחים, רק בהודו, הפגם הזה העמיד 41% מהחברות בסיכון לפריצות. מחקר צ'ק פוינט אמר כי הוא זיהה למעלה מ-846,000 התקפות המנצלות את הפגם.
Kryptos Logic שהיא חברת אבטחה הודיעה על כך הוא גילה יותר מ-10,000 כתובות IP שונות שסורקות את האינטרנט, וזה פי 100 מכמות המערכות שחיטוט ב-LogShell .
פגיעות זו היא כה מסיבית בשל העובדה שאפצ'י הוא שרת האינטרנט הנפוצים ביותר, ו-Log4j היא חבילת הרישום הפופולרית ביותר של Java. יש לו יותר מ-400,000 הורדות ממאגר GitHub בלבד.
כיצד להישאר בטוחים מפני הפגיעות של Log4j?
לפי המשתמשים האחרונים, Apache מתקן את הבעיות עבור כולם ב-Log4j 2.15.0 ומעלה מכיוון שהם משביתים את ההתנהגות כברירת מחדל. מומחים מנסים ללא הרף לשקול כיצד למזער את הסיכון של האיום הזה ולהגן על המערכות. מיקרוסופט וסיסקו פרסמו גם ייעוץ לגבי הפגם.
LunaSec הזכיר את זה Minecraft כבר הצהירה שמשתמשים יכולים לעדכן את המשחק כדי למנוע בעיות. פרויקטים אחרים בקוד פתוח כמו Paper מנפיקים גם טלאים כדי לתקן את הבעיה .
סיסקו ו-VMware גם פרסמו תיקונים עבור המוצרים המושפעים שלהם. רוב חברות הטכנולוגיה הגדולות התייחסו כעת לנושא בפומבי והציעו אמצעי אבטחה למשתמשים שלהן וגם לעובדים. הם רק צריכים לעקוב אחריהם בקפדנות.
מה המומחים אומרים על פגיעות Log4j?
הפגיעות של Log4j הותירה את מנהלי המערכת ואנשי האבטחה מבולבלים במהלך סוף השבוע. סיסקו ו-Cloudflare דיווחו שההאקרים מנצלים את הבאג הזה מתחילת החודש. עם זאת, המספרים גדלו באופן דרסטי לאחר החשיפה של אפאצ'י ביום חמישי.
בדרך כלל, החברות מתמודדות עם פגמים כאלה באופן פרטי. אבל, טווח ההשפעה של פגיעות זו היה כה עצום שחברות נאלצו לטפל בה בפומבי. אפילו אגף אבטחת הסייבר של ממשלת ארה'ב פרסם אזהרה רצינית.
ביום שבת, ג'ן איסטרלי, מנהלת סוכנות הסייבר ואבטחת התשתיות האמריקאית, אמרה זאת הפגיעות כבר נמצאת בשימוש על ידי 'קבוצה הולכת וגדלה של שחקני איומים', הפגם הזה הוא אחד החמורים שראיתי בכל הקריירה שלי, אם לא החמור ביותר.
כריס פרוהוף, חוקר אבטחה עצמאי אומר את זה מה שכמעט בטוח הוא שבמשך שנים אנשים יגלו את הזנב הארוך של תוכנות פגיעות חדשות כשהם חושבים על מקומות חדשים לשים בהם מחרוזות. זה כנראה יופיע בהערכות ובמבחני חדירה של אפליקציות ארגוניות מותאמות אישית במשך זמן רב.
המומחים מאמינים כי בעוד שחשוב להיות מודעים להשפעה המתמשכת הקרובה של הפגיעות, העדיפות הראשונה חייבת להיות לנקוט כמה שיותר צעדים כעת כדי לצמצם את הנזק.
מכיוון שהתוקפים יחפשו כעת דרכים יצירתיות יותר לגלות ולנצל כמה שיותר מערכות, הפגם המפחיד הזה ימשיך לגרום להרס ברחבי האינטרנט במשך שנים רבות!
