Bezpieczeństwo

Wykryto poważną lukę bezpieczeństwa w popularnych aplikacjach – wiele firm narażonych na ataki

przeczytasz w 2 min.

Temat luki w zabezpieczeniach bibliotek Apache Log4j pojawił się w sieci już kilka dni temu. Nie sądziliśmy jednak, że skala problemu jest tak ogromna – na ataki są narażone tysiące firm.

Krytyczna podatność w Apache Log4j – skala problemu jest ogromna

Chodzi o podatność CVE-2021-44228 (Log4Shell) w bibliotece Apache Log4j, która jest jedną z najczęściej używanych bibliotek do logowania zdarzeń, wykorzystywanych przez aplikacje napisane w języku Java.

Luka w zabezpieczeniach pozwala na zdalne wykonanie kodu z uprawnieniami danej aplikacji (podatność nie wymaga uwierzytelnienia). Podatność może być wykorzystana m.in. do ataków ransomware. Na tą chwilę wiadomo, że podatność dotyczy biblioteki Apache Log4j w wersjach od 2.0 do 2.14.1 włącznie i występuje niezależnie od wykorzystywanej wersji Java Development Kit (w wersjach wyższych niż 6u211, 7u201, 8u191 oraz 11.0.1 trudniej przeprowadzić atak, jednak nadal jest to możliwe).

log4j - schemat ataku
Schemat ataku przygotowany przez szwajcarski zespół CERT

Sprawa jest o tyle poważna, że biblioteki Apache Log4j są wykorzystywane przez wiele komercyjnych aplikacji. Warto jednak zaznaczyć, że atak nie ogranicza się do aplikacji webowych – eksperci wskazują, że podatne są wszystkie aplikacje javowe korzystające z biblioteki Apache Log4j (tutaj znajdziecie listę dużej części podatnych aplikacji). Oznacza to, że skala problemu jest OGROMNA i atakujący mogą doprowadzićdo paraliżu dużej części firm. Eksperci z CERT Polska obserwują narastający ruch powiązany ze skanowaniem usług dostępnych z internetu i prób wykorzystania podatności. Mało tego, prognozy wskazują, że cyberprzestępcy w najbliższych tygodniach będą jeszcze bardziej intensyfikowali działania.

PS. Wiecie, że biblioteki Apache Log4j są wykorzystywane też w dronie Ingenuity, który poleciał na Marsa?

Całe szczęście sporo firm już zaczęło interesować się problemem i poderwało na nogi wszystkich ekspertów bezpieczeństwa. Jeden z naszych anonimowych informatorów z międzynarodowej korporacji logistycznej, który ma doświadczenie z NotPetya i WannaCry napisał:

Sytuacja jest podbramkowa. Wszyscy pracownicy działu security zostali wezwani do firmy, niezależnie czy przebywają na home office, urlopie, czy nawet kwarantannie. Mamy stan najwyższej gotowości i czekamy na rozwój wydarzeń, które zdają się być nieuniknione.

Jak zabezpieczyć się przed luką Apache Log4j?

Kluczową kwestią jest sprawdzenie i załatanie systemów dostępnych z internetu oraz krytycznych zasobów dla działania firmy. Następnie należy przejrzeć i aktualizować pozostałe systemy (do poszukiwania podatnych bibliotek można wykorzystać hashe plików).

Dobra informacja jest taka, że programiści udostępnili nową wersję bibliotek Apache Log4j 2.15.0 i 2.16.0 (testową wersję 2.15.0-rc1 udało się złamać), w której załatano opisywaną podatność. Oprócz aktualizacji bibliotek, zalecana jest również aktualizacja oprogramowania do wersji łatającej błąd

Zespół CERT Polska wydał rekomendacje, które pozwolą zmniejszyć ryzyko ataku (a w razie wykorzystania podatności ułatwią wykrycie ataku).

Źródło: CERT Polska, Swiss CERT, Sekurak, inf. własna

Komentarze

1
Zaloguj się, aby skomentować
avatar
Komentowanie dostępne jest tylko dla zarejestrowanych użytkowników serwisu.
  • avatar
    SerwusX
    1
    Wtf, firma może ściągnąć kogoś z kwarantanny? xD

    Witaj!

    Niedługo wyłaczymy stare logowanie.
    Logowanie będzie możliwe tylko przez 1Login.

    Połącz konto już teraz.

    Zaloguj przez 1Login