Wykryto poważną lukę bezpieczeństwa w popularnych aplikacjach – wiele firm narażonych na ataki
Temat luki w zabezpieczeniach bibliotek Apache Log4j pojawił się w sieci już kilka dni temu. Nie sądziliśmy jednak, że skala problemu jest tak ogromna – na ataki są narażone tysiące firm.
Krytyczna podatność w Apache Log4j – skala problemu jest ogromna
Chodzi o podatność CVE-2021-44228 (Log4Shell) w bibliotece Apache Log4j, która jest jedną z najczęściej używanych bibliotek do logowania zdarzeń, wykorzystywanych przez aplikacje napisane w języku Java.
Luka w zabezpieczeniach pozwala na zdalne wykonanie kodu z uprawnieniami danej aplikacji (podatność nie wymaga uwierzytelnienia). Podatność może być wykorzystana m.in. do ataków ransomware. Na tą chwilę wiadomo, że podatność dotyczy biblioteki Apache Log4j w wersjach od 2.0 do 2.14.1 włącznie i występuje niezależnie od wykorzystywanej wersji Java Development Kit (w wersjach wyższych niż 6u211, 7u201, 8u191 oraz 11.0.1 trudniej przeprowadzić atak, jednak nadal jest to możliwe).
Schemat ataku przygotowany przez szwajcarski zespół CERT
Sprawa jest o tyle poważna, że biblioteki Apache Log4j są wykorzystywane przez wiele komercyjnych aplikacji. Warto jednak zaznaczyć, że atak nie ogranicza się do aplikacji webowych – eksperci wskazują, że podatne są wszystkie aplikacje javowe korzystające z biblioteki Apache Log4j (tutaj znajdziecie listę dużej części podatnych aplikacji). Oznacza to, że skala problemu jest OGROMNA i atakujący mogą doprowadzićdo paraliżu dużej części firm. Eksperci z CERT Polska obserwują narastający ruch powiązany ze skanowaniem usług dostępnych z internetu i prób wykorzystania podatności. Mało tego, prognozy wskazują, że cyberprzestępcy w najbliższych tygodniach będą jeszcze bardziej intensyfikowali działania.
PS. Wiecie, że biblioteki Apache Log4j są wykorzystywane też w dronie Ingenuity, który poleciał na Marsa?
Całe szczęście sporo firm już zaczęło interesować się problemem i poderwało na nogi wszystkich ekspertów bezpieczeństwa. Jeden z naszych anonimowych informatorów z międzynarodowej korporacji logistycznej, który ma doświadczenie z NotPetya i WannaCry napisał:
Sytuacja jest podbramkowa. Wszyscy pracownicy działu security zostali wezwani do firmy, niezależnie czy przebywają na home office, urlopie, czy nawet kwarantannie. Mamy stan najwyższej gotowości i czekamy na rozwój wydarzeń, które zdają się być nieuniknione.
Jak zabezpieczyć się przed luką Apache Log4j?
Kluczową kwestią jest sprawdzenie i załatanie systemów dostępnych z internetu oraz krytycznych zasobów dla działania firmy. Następnie należy przejrzeć i aktualizować pozostałe systemy (do poszukiwania podatnych bibliotek można wykorzystać hashe plików).
Dobra informacja jest taka, że programiści udostępnili nową wersję bibliotek Apache Log4j 2.15.0 i 2.16.0 (testową wersję 2.15.0-rc1 udało się złamać), w której załatano opisywaną podatność. Oprócz aktualizacji bibliotek, zalecana jest również aktualizacja oprogramowania do wersji łatającej błąd
Zespół CERT Polska wydał rekomendacje, które pozwolą zmniejszyć ryzyko ataku (a w razie wykorzystania podatności ułatwią wykrycie ataku).
Źródło: CERT Polska, Swiss CERT, Sekurak, inf. własna
![Amerykańskie wojsko i sztuczna inteligencja. Dzień Sądu jest bliski? [OPINIA]](http://cdn.benchmark.pl/thumbs/uploads/article/93801/MODERNICON/dfef86e432c60118ce8ad99b59ec2355fab92f34.jpg/470x0x1.jpg)
![AI nie będzie nam wybierało rządu! A może będzie? [OPINIA]](http://cdn.benchmark.pl/thumbs/uploads/article/93577/MODERNICON/2b77f552fbfa26c7e99620bb643f2dea6b143fd0.jpg/470x0x1.jpg)
Komentarze
1