Log4j: Насколько мы облажались?

Dec 15 2021

Что ж, это определенно был год кибер-катастроф, так что, конечно, почему бы не связать все с хорошей, толстой уязвимостью безопасности, которая затрагивает почти все в Интернете? Это звучит примерно так. Короче говоря, ошибка Apache log4j — это плохо.

Что ж, это определенно был год кибер -катастроф , так что, конечно, почему бы не связать все с хорошей, толстой уязвимостью безопасности, которая затрагивает почти все в Интернете? Это звучит правильно.

Короче говоря, ошибка Apache log4j — это плохо . По словам Джен Истерли, директора Американского агентства по кибербезопасности и безопасности инфраструктуры, это «один из самых серьезных случаев», которые она видела за всю свою «карьеру». В недавнем выступлении в СМИ Истерли сообщила репортерам , что федеральные чиновники полностью ожидают, что «уязвимость будет широко использоваться опытными субъектами», а ее коллега Джей Газлей из отдела управления уязвимостями CISA любезно сообщил, что ошибка, вероятно, затрагивает « сотни миллионы устройств».

БОЛЬШЕ: Что такое Web3 и почему это должно вас волновать?

Хотя обычные веб-пользователи мало что могут сделать со всей этой ситуацией, может быть полезно знать, что происходит. Вот краткое изложение всех ужасов.

Затронутая программа, Apache log4j, представляет собой бесплатную библиотеку ведения журналов с открытым исходным кодом, которую используют множество компаний. Библиотеки ведения журналов внедряются инженерами для записи того, как работают программы; они позволяют проводить аудит кода и представляют собой рутинный механизм для исследования ошибок и других функциональных проблем. Поскольку log4j бесплатен и широко пользуется доверием, большие и малые компании используют его для самых разных целей. Ирония, конечно, в том, что у этого инструмента для проверки ошибок теперь есть ошибка.

Исследователи безопасности стали называть уязвимость «Log4Shell», так как надлежащая эксплуатация может привести к доступу оболочки (также называемому «удаленный доступ кода») к серверной системе. Между тем, его официальное обозначение — CVE-2021-44228, и он имеет рейтинг серьезности 10 по шкале Общей системы оценки уязвимостей — по-видимому, худшее, что вы можете получить. Впервые он был обнародован 9 декабря, менее недели назад, после того, как его заметил член команды Alibaba по безопасности облачных вычислений, парень по имени Чен Чжаоцзюнь.

С технической точки зрения, ошибка представляет собой уязвимость удаленного выполнения кода нулевого дня, что означает, что она «позволяет злоумышленникам загружать и запускать сценарии на целевых серверах, оставляя их открытыми для полного удаленного управления», — написали исследователи Bitdefender в недавнем анализе уязвимость. Его также довольно легко использовать — преступникам не нужно много делать, чтобы доставить кучу неприятностей.

Из-за повсеместного распространения log4j большинство крупнейших платформ в Интернете связаны с фиаско. Было опубликовано несколько списков , которые призваны показать, кто именно затронут и кто может быть затронут, хотя на данный момент полностью всеобъемлющий учет кажется донкихотскими амбициями. По разным данным, среди пострадавших есть такие громкие имена, как Apple, Twitter, Amazon, LinkedIn, CloudFlare и другие.

Компании, окончательно подтвердившие свою причастность, часто сообщали, что множество их продуктов и услуг нуждаются в исправлении. Компания облачных вычислений VMWare, например, сообщает , что затронуты 44 ее продукта. Сетевой гигант Cisco заявляет, что 35 его инструментов уязвимы. Fortigard, известная компания по кибербезопасности, недавно сообщила , что по меньшей мере дюжина ее продуктов затронута. У этого списка нет конца.

Amazon, очевидно, является одной из крупнейших компаний в этом списке. Технический гигант регулярно публикует обновления , связанные со своими продуктами и услугами (которых, похоже, довольно много), в то время как Apple, тем временем, недавно подтвердила, что iCloud пострадал от ошибки, и впоследствии исправила себя . Другие компании все еще расследуют, облажались они или нет, в том числе технологические гиганты, такие как Blackberry, Dell, Huawei и Citrix, а также известные технологические фирмы, такие как SonicWall, McAfee, TrendMicro, Oracle, Qlik и многие-многие другие.

Но ошибка также может выйти за пределы технологий и запутаться в отраслях, которые вы, естественно, не связываете с такого рода проблемами. Драгош, который анализирует безопасность применительно к операционным и промышленным системам, недавно написал об этом:

Итак, это плохие новости. Хорошие новости? Джей Кей, хороших новостей нет. Вместо этого есть и другие плохие новости: эта зияющая уязвимость уже подвергается массовым попыткам эксплуатации ордами киберпреступников. Исследователи безопасности в Интернете начали публиковать отчеты об активности, которую они наблюдают, и это не особенно приятно.

Большая часть проблемы заключается в том, что большинство преступников узнали об уязвимости log4j примерно в то же время, что и все остальные. Таким образом, с прошлой недели количество попыток эксплуатации уязвимых систем и платформ увеличилось в геометрической прогрессии, поскольку хакеры во всей сети отчаянно пытаются воспользоваться этой уникальной ужасной ситуацией. Фирма по кибербезопасности Check Point недавно опубликовала данные , показывающие, что с момента первоначального раскрытия информации об ошибке она наблюдала всплеск попыток эксплойта. В отчете отмечается:

Серхио Кальтаджироне, вице-президент по анализу угроз в фирме по кибербезопасности Dragos, сказал Gizmodo, что такая деятельность в значительной степени является нормой. «Весьма вероятно и ожидается, что программы-вымогатели в конечном итоге воспользуются уязвимостью log4j. Тем более, что уязвимые системы, вероятно, являются критически важными активами, такими как серверы», — сказал он в электронном письме.

Действительно, во вторник компания Bitdefender, занимающаяся кибербезопасностью, опубликовала исследование , в котором, по-видимому, показаны попытки взлома уязвимых машин новым семейством программ-вымогателей, известных как Khonsari. Согласно исследованию, хакеры-вымогатели Khonsari нацелены на системы Microsoft, оставляя после себя записки с требованием выкупа.

И хотя программы-вымогатели являются одной из главных проблем, другие специалисты по кибербезопасности писали о целом ряде попыток эксплойтов, которые они наблюдают — подобные им варьируются от криптомайнинга и установки ботнетов до более разведывательных действий, таких как общее сканирование и развертывание маяков Cobalt-Strike.

Во многих случаях эти атаки кажутся быстрыми и яростными. «Мы наблюдаем более 1000 попыток эксплойтов в секунду. И полезные нагрузки становятся все страшнее. Полезные нагрузки программ-вымогателей начали действовать в течение последних 24 часов», — написал в Твиттере Мэтью Принс, генеральный директор Cloudflare, который, по-видимому, также следит за действиями по эксплуатации.

Что еще хуже, на этой неделе была обнаружена вторая уязвимость, получившая название CVE-2021-45046 . Исследователи из LunaSec заявили, что ранее исправленные системы все еще могут работать с последней ошибкой, и Apache уже выпустил обновление для снижения рисков.

Если вы обычный веб-пользователь, единственное, что вы действительно можете сделать на данном этапе, — это обновить свои устройства и приложения по запросу и надеяться, что платформы, на которые вы полагаетесь, достаточно быстры для выявления уязвимостей, создания исправлений и т. д. и выкладывать обновления. Короче: держитесь все.