Лог4ј рањивост је међу најсмртоноснијим безбедносним проблемима у савременим системима.
Евидентирање је кључна карактеристика модерних апликација, а библиотека за евидентирање, Лог4ј, је лидер у овом простору.
Ова библиотека се користи у већини апликација, услуга и система. Дакле, све оне апликације у којима се користи Лог4ј су погођене овом рањивошћу Лог4ј пронађеном прошле године.
Са све већим проблемима сајбер безбедности широм света, организације и појединци предузимају кораке да заштите своје апликације, системе и податке.
А када је ова рањивост откривена, то је додатно стресло професионалце и компаније.
Стога је откривање и поправљање Лог4ј рањивости од суштинског значаја ако желите да заштитите своје податке, мрежу, репутацију и поверење купаца.
У овом чланку ћу разговарати о томе шта је Лог4ј рањивост, заједно са корацима за откривање и поправљање.
Хајде да почнемо са разумевањем Лог4ј и зашто вам је потребан.
Преглед садржаја
Шта је Лог4ј?
Лог4ј је услужни програм отвореног кода написан на Јави који се углавном користи за складиштење, форматирање и објављивање записа евидентирања које генеришу апликације и системи, а затим проверу грешака. Записи могу бити различитих типова, од података о веб страници и претраживачу до техничких детаља система где Лог4ј ради.
Уместо да пишу код од нуле, програмери могу да користе Лог4ј библиотеку интегришући њен код у своје апликације.
Користећи Лог4ј, програмери могу пратити све догађаје повезане са њиховим апликацијама са тачним подацима о евидентирању. Помаже им да надгледају апликације, уочавају проблеме на време и решавају проблеме пре него што се претворе у већи проблем у погледу перформанси и/или безбедности.
Ову библиотеку засновану на Јави написао је Цеки Гулцу и објављена је 2001. под Апацхе лиценцом 2.0. Користи услуге Јава именовања и интерфејса директоријума (ЈНДИ) како би омогућио апликацијама да комуницирају са другим апликацијама као што су ЛДАП, ДНС, ЦОРБА, итд., и да добије функцију директоријума и именовања за апликације засноване на Јава. Лог4ј има три компоненте за обављање својих задатака:
- Држачи за снимање записа
- Изгледи за форматирање записа евиденције у различитим стиловима
- Додаци за објављивање записа евиденције на различитим одредиштима
Лог4ј је, у ствари, једна од најпознатијих библиотека за евидентирање на вебу и користе је организације из више индустрија и земаља. Интегрисали су ову библиотеку евиденције у мноштво апликација, укључујући врхунске услуге у облаку од стране Гоогле, Мицрософт, Аппле, Цлоудфларе, Твиттер, итд.
Њен програмер, Апацхе Софтваре Фоундатион, развио је Лог4ј 2, надоградњу на Лог4ј како би се позабавили проблемима пронађеним у ранијим издањима. Прошле године је пронађена рањивост у Лог4ј-у, која, када се не адресира, може омогућити нападачима да провале у апликације и системе, краду податке, инфицирају мрежу и обављају друге злонамерне активности.
Хајде да то боље разумемо.
Шта је Лог4Схелл – Лог4ј рањивост?
Лог4Схелл је критична рањивост у сајбер безбедности у библиотеци Лог4ј, која утиче на основно функционисање библиотеке. Омогућава нападачу да контролише уређај или апликацију повезану на интернет тако што извршава даљинско извршавање кода. Када буду успешни у томе, могу:
- Покрените било који код на уређају или систему
- Приступите свим мрежама и подацима
- Измените или шифрујте било коју датотеку на погођеној апликацији или уређају
Ову рањивост је први пут пријавио 24. новембра 2021. Чен Зхаојун, истраживач безбедности у Алибаби (кинеском гиганту е-трговине). Рањивост је утицала на њихове Минецрафт сервере, што је Алибабин тим за безбедност у облаку открио 9. децембра.
Затим је НИСТ објавио ову рањивост у Националној бази података о рањивости и назвао је ЦВЕ-2021-44228. Апацхе Софтваре Фоундатион је затим оценио ову рањивост са 10 у ЦВСС озбиљности. Ово се ретко додељује и веома је озбиљно јер има потенцијал да буде широко и лако експлоатисано, што доводи до огромне штете за организације и појединце.
Апацхе је, као одговор, издао закрпу за ову рањивост, али су ипак неки делови остали нерешени, што је довело до других рањивости:
- ЦВЕ-2021-45046 који је олакшао нападе ускраћивања услуге (ДоС) путем ЈНДИ претраживања
- ЦВЕ-2021-45105 омогућава хакерима да контролишу информације мапе контекста нити и изазивају ДоС нападе тумачењем креираног стринга
- ЦВЕ-2021-44832 утиче на све верзије Лог4ј 2 путем даљинског убацивања кода (РЦЕ)
Како функционише Лог4Схелл?
Да бисте разумели његову озбиљност и колико штете Лог4Схелл може да учини, важно је сазнати како ова рањивост Лог4ј функционише.
Лог4Схелл рањивост омогућава нападачу да даљински убаци било који произвољни код у мрежу и добије потпуну контролу над њим.
Ова секвенца сајбер напада почиње библиотеком евиденције, као што је Лог4ј, која прикупља и чува информације дневника. Ако не постоји библиотека за евидентирање, сви подаци са сервера ће бити архивирани одмах након што се подаци прикупе.
Али ако желите да анализирате ове податке или морате да предузмете неке радње на основу одређених информација дневника, биће вам потребна библиотека за евидентирање да рашчлани податке дневника пре него што буду архивирани.
Због рањивости Лог4ј, сваки систем или апликација који користи Лог4ј постаје рањив на сајбер нападе. Библиотека евиденције извршава код на основу уноса. Хакер може натерати библиотеку дневника да изврши штетан код јер ће им рањивост омогућити да манипулишу уносом.
У међувремену, многе ствари се дешавају у позадини. Када Лог4ј буде прослеђен посебно направљеним стрингом, он ће позвати ЛДП сервер и преузети тај код који се налази у његовом директоријуму да би извршио код. На овај начин, нападачи могу да креирају ЛДАП сервер за складиштење злонамерног кода који им може помоћи да контролишу било који сервер на коме се код извршава. Затим ће послати стринг који усмерава њихов злонамерни код на циљану апликацију или систем и преузима потпуну контролу над њим.
Дакле, овако се може искористити рањивост Лог4ј:
- Нападач проналази сервер са рањивом верзијом Лог4ј.
- Они ће послати циљаном серверу захтев за добијање са везом свог злонамерног ЛДАП сервера.
- Циљани сервер ће се, уместо верификације захтева, директно повезати са овим ЛДАП сервером.
- Нападачи ће сада послати циљаном серверу одговор ЛДАП сервера који садржи злонамерни код. Због рањивости Лог4ј-а, која омогућава пријем кода и његово извршавање без верификације, хакер може искористити ову слабост да провали у циљни сервер и искористи повезане системе, мреже и уређаје.
Како Лог4ј рањивост може наштетити корисницима?
Лог4ј рањивост је забрињавајућа јер се користи у широком спектру софтверских апликација и система.
Пошто је евидентирање суштинска карактеристика у већини софтверских апликација и Лог4ј је водеће решење у свемиру, Лог4ј проналази апликације у различитим софтверским системима.
Неке од популарних услуга и апликација које користе Лог4ј су Минецрафт, АВС, иЦлоуд, Мицрософт, Твиттер, интернет рутери, алати за развој софтвера, безбедносни алати и тако даље. Дакле, нападачи могу циљати велики број апликација, услуга и система од кућних корисника, програмера кода, добављача услуга и других сродних стручњака и појединаца.
Поред тога, рањивост Лог4ј је изузетно лака за нападач да искористи. Целокупни процес захтева мање скупова вештина, а не на нивоу стручњака, да би се извршио напад. Због тога се повећава број напада који користе ову рањивост.
Утицај рањивости Лог4ј је:
- ДоС напади
- Напади на ланац снабдевања
- Ископавање новчића
- Ињекције злонамерног софтвера као што су рансомваре и тројански коњи
- Убризгавање произвољног кода
- Даљинско извршавање кода
И још.
Као резултат ових напада, можете изгубити контролу над својим апликацијама, системима и уређајима, а ваши подаци могу постати плен нападача који могу продати ваше податке, манипулисати њима или их изложити спољном свету. Дакле, ваше пословање може бити оштећено у смислу приватности података о клијентима, поверења, тајни организације, па чак и ваше продаје и прихода, а камоли ризика усклађености.
Према извештајупреко 40% глобалних корпоративних мрежа је доживело нападе због ове рањивости.
Дакле, чак и ако не користите ниједну рањиву верзију Лог4ј-а у својим апликацијама, ваше интеграције треће стране можда га користе, што вашу апликацију чини рањивом на нападе.
Имајте на уму да све верзије Лог4ј пре Лог4ј 2.17.0. су погођени; стога, морате надоградити логер ако га користите. Такође, познати добављачи на које утиче ова Лог4ј рањивост су Адобе, АВС, ИБМ, Цисцо, ВМваре, Окта, Фортинет, итд. Ако користите било коју од њих, пратите своје апликације непрекидно и користите безбедносне системе да бисте решили проблеме чим се настаје.
Како открити програме на које утиче Лог4ј и решити проблеме
Лог4Схелл рањивост има 10 у ЦВСС резултату. Дакле, сви проблеми у Лог4ј још нису закрпљени. Али постоји шанса да ви или ваш добављач треће стране можда користите Лог4ј, који сте користили у својој апликацији.
Стога, ако желите да заштитите своје податке, системе и мрежу, обавезно следите неке кораке санације.
#1. Ажурирајте своју верзију Лог4ј
Ажурирање ваше тренутне верзије Лог4ј на Лог 4ј 2.17.1 је најефикаснија техника санације ако желите да заштитите свој уређај и апликације од напада као резултат рањивости Лог4ј.
Лог4Схелл је врста напада нултог дана који потенцијално може утицати на ваш софтверски екосистем. Апацхе је исправио неке од рањивости у недавним верзијама, али ако је ваш систем био компромитован пре надоградње, и даље сте у опасности.
Стога, под претпоставком да је ово, морате не само да надоградите верзију већ и да одмах започнете своје процедуре за реаговање на инциденте како бисте били сигурни да нема рањивости у вашим системима и апликацијама и да бисте ублажили нападе. Такође морате прегледати све евиденције вашег сервера да бисте пронашли индикаторе компромиса (ИОЦ) и стално надгледали своје системе и мрежу.
#2. Користите најновије заштитне зидове и безбедносне системе
Заштитни зидови као што су заштитни зид за веб апликације (ВАФ) и заштитни зидови следеће генерације могу помоћи у заштити вашег мрежног периметра од нападача скенирањем долазних и одлазних пакета података и блокирањем сумњивих. Дакле, користите најновије заштитне зидове у вашој мрежи и поставите строга одлазна правила на својим серверима како бисте спречили нападе повезане са рањивости Лог4ј.
Иако нападачи могу да заобиђу заштитне зидове, и даље ћете добити одређени степен сигурности са заштитним зидовима који могу блокирати захтеве нападача.
Поред тога, ажурирајте све своје безбедносне системе, као што су системи за откривање упада (ИДС), системи за превенцију упада (ИПС), итд., најновијим потписима и правилима. Ови системи ће помоћи да се блокира или филтрира РМИ и ЛДАП саобраћај од повезивања са злонамерним ЛДАП сервером.
#3. Имплементирати МСП
Подешавање вишефакторске аутентификације (МФА) у вашим апликацијама и систему обезбедиће бољу безбедност од нападача. То ће обезбедити други слој безбедности чак и ако нападач успе да пробије први слој. То можете да урадите путем биометрије као што су отисци прстију, скенирање шаренице итд., постављање безбедносног питања или омогућавање безбедносног ПИН-а.
Коришћење МФА ће повећати потешкоће и време нападача за извођење потпуног напада. У међувремену, такође вас може одмах обавестити о инциденту како бисте могли да предузмете неопходне кораке за санацију када још будете имали времена.
Поред тога, морате да примените и строге ВПН политике да бисте смањили кршење података. Ово ће омогућити корисницима да безбедно приступе вашим системима са било ког места без страха од нападача.
#4. Промените својства система
У случају да не можете да надоградите на најновију верзију библиотеке Лог4ј, морате одмах да промените својства јава система ако користите верзију у распону од Лог4ј 2.10 до Лог4ј 2.14.1.
Морате га поставити на такав начин да спречите тражење које нападачи користе да открију рањивости, а затим пронађу начине да их искористе.
#5. Уклоните ЈНДИ
Разлог за ову критичну безбедносну рањивост лежи у њеном дизајну. Додатак ЈНДИ Лоокуп има грешку у дизајну кроз коју нападачи могу извршити напад.
ЈНДИ се користи за извршавање кода на основу улазних података у свом дневнику, којим свако може лако да манипулише пошто логер прихвата сваки захтев без верификације.
Истраживачи безбедности су открили да је овај додатак увек дозвољавао нерашчлањене податке откако је објављен 2013. и да их шаље у Лог4ј библиотеку.
Због тога је рањивост Лог4ј склона експлоатацији једноставним убризгавањем низа. Једном када га нападач унесе, логер ће прихватити операцију тражену у стрингу и извршити је одмах без верификације.
Дакле, ако желите да обезбедите своје системе и апликацију, морате да онемогућите класу – ЈндиЛоокуп. Ово ће спречити логер да предузме акцију на основу података евиденције.
У ствари, ЈНДИ тражење је већ онемогућено у Лог4ј 2.16.0 подразумевано у покушају да обезбеди ваше апликације и системе.
Дакле, ако користите верзију Лог4ј нижу од 2.16.0, уверите се да сте онемогућили ЈНДИ тражење.
#6. Разговарајте са својим продавцима
Ако сте све направили како треба, ваши заштитни зидови и безбедносни системи су ажурирани, верзија Лог4ј ажурирана, ЈНДИ тражење онемогућено, итд., немојте се још опустити.
Чак и ако у својим апликацијама не користите рањиву верзију Лог4ј-а, можда је користе ваши независни добављачи. Дакле, никада нећете сазнати како су ваша апликација или систем хаковани јер је прави проблем био у вашој интеграцији треће стране.
Стога, разговарајте са својим добављачима и уверите се да су и они надоградили Лог4ј на најновију верзију и применили друге безбедносне праксе о којима је било речи.
#7. Користите Лог4ј скенер рањивости
Постоји много алата за скенирање Лог4ј рањивости доступних на тржишту како би вам олакшали откривање Лог4ј рањивости у вашим системима и апликацијама.
Дакле, када тражите ове алате, проверите њихове стопе тачности јер многи од њих генеришу лажне позитивне резултате. Такође, пронађите алат који може да задовољи ваше потребе јер се може фокусирати на идентификацију Лог4ј рањивости, извештавање о изложености и отклањање рањивости.
Дакле, ако је ваш фокус откривање, пронађите Лог4ј скенер рањивости који може да открије проблем или користите онај који може да открије и отклони проблем.
Неки од најбољих Лог4ј алата за скенирање су:
- Мицрософт 365 Дефендер: Мицрософт нуди низ безбедносних решења и алата који ће вам помоћи да откријете и спречите злоупотребе Лог4ј у вашој мрежи. Моћи ћете да уочите даљинско извршавање кода и покушаје експлоатације, штитећи вас од Лог4ј рањивости на Виндовс и Линук уређајима.
- Амазон Инспецтор и АВС: Амазон је креирао алат за скенирање да пронађе рањивост Лог4ј у инстанцама Амазон ЕЦ2 и Амазон ЕЦР.
- ЦлоудСтрике Арцхиве Сцан Тоол (ЦАСТ): ЦлоудСтрике је такође направио одличан алат за скенирање за откривање Лог4ј рањивости како би вам помогао да решите проблеме на време пре него што нападачи могу да је искористе.
- Откривање Гоогле Цлоуд логовања: Гоогле-ово решење за откривање евиденције у облаку вам омогућава да откријете злоупотребе Лог4ј користећи Логс Екплорер. У овом алату можете креирати упит за евиденцију и скенирати потенцијалне стрингове за експлоатацију.
- Гоогле је такође креирао лог4јсцаннер, скенер система датотека отвореног кода за откривање Лог4ј рањивости.
- БурпСуите Лог4ј скенер: Ово је безбедносни додатак за професионалце и предузећа који им помаже да открију Лог4ј рањивост.
- Хунтресс Лог4Схелл тестер рањивости: Овај алат насумично генерише јединствени идентификатор који можете да користите док тестирате своја поља за унос. Након што пронађе рањивост у апликацији или пољу за унос, његов сигурни ЛДАП сервер ће тренутно прекинути злонамерну везу и заштитити вас.
- ВхитеСоурце Лог4ј Детецт: ВхитеСоурце је направио бесплатну ЦЛИ алатку, ВхитеСоурце Лог4ј Детецт, која се налази на ГитХуб-у како би вам помогла да откријете и поправите пропусте Лог4ј – ЦВЕ-2021-445046 и ЦВЕ-2021-44228.
- ЈФрог алатке за скенирање отвореног кода за Лог4ј: ЈФрог је креирао различита решења и алатке отвореног кода за проналажење пропуста Лог4ј у вашим бинарним датотекама и изворном коду.
Закључак
Лог4ј рањивост је критично безбедносно питање. Пошто се ова библиотека за евидентирање широко користи у различитим апликацијама и системима, рањивост Лог4ј је постала широко распрострањена, омогућавајући нападачима да искористе широк спектар система и апликација.
Дакле, ако желите да заштитите своје системе и апликације од ове рањивости, надоградите Лог4ј библиотеку на најновију верзију и примените најбоље безбедносне праксе о којима смо горе говорили.