Log4Shell
Pozdravljeni v torkovem tehnološkem BritOFFu.
Prejšnji teden je poznavalce kibernetske varnosti pretresla vest, da je bila v programski knjižnici Java logging library Log4j odkrita huda kritična pomanjkljivost. Opozorilo o nujnosti nadgradnje je izdal tudi slovenski nacionalni odzivni center za kibernetsko varnost SI-CERT, ki je skrbnike strežnikov takoj pozval k ukrepanju. Tehnične podrobnosti, ki omogočajo zlorabo odprtokodne knjižnice, poimenovane Log4Shell, so sicer dokaj zapletene. Gre za zlorabo procesa beleženja dejavnosti, ki ga uporabljajo različne aplikacije in ga nadzoruje omrežni varnostni sistem. Kritična ranljivost napadalcem omogoča, da z oddaljenim dostopom prevzamejo nadzor nad ranljivim sistemom in ga okužijo z zlonamerno kodo. Povrhu se problematična javanska knjižnica v veliki meri uporablja za poslovne storitve in storitve v oblaku.
Log4Shell je bil v zahodnem svetu odkrit na strežnikih popularne igre Minecraft, kjer je zloraba potekala kar preko sporočil v klepetu. Nepridobitni organizaciji Apache Software Foundation, ki vzdržuje knjižnico Log4j, je ranljivost sicer javil kitajski spletni velikan Alibaba, in to že konec novembra. Razvoj popravka je nato trajal kar štirinajst dni. Na začetku se je zdelo, da bodo prizadeta podjetja, kot so Apple iCloud, Amazon Web Services, Twitter, Steam in Tesla, ranljivost kar hitro pokrpala. Prva poročila s strani strokovnjakov za kibernetsko varnost so nakazovala, da se ranljivost v glavnem zlorablja za nalaganje rudarskih programov za kriptovalute in za ustvarjanje nove vojske botov na platformi Linux. A popularnost Log4Shella je hitro naraščala. Podjetje za kibernetsko varnost Kryptos Logic je v nedeljo navedlo, da je za ranljivimi strežniki vohunilo že 10 tisoč različnih IP-naslovov, kar je stokrat več kot v petek.
Ameriško podjetje Kronos, ki svojim poslovnim strankam nudi obdelovanje plač v oblaku, je ravno v nedeljo naznanilo, da vsaj še nekaj tednov ne bo moglo opravljati svoje dejavnosti. Vzrok naj bi bila izsiljevalska koda, Kronos pa zaenkrat še molči o tem, ali je napad posledica Log4Shella, čeprav časovnica sovpada. Med strankami Kronosa so lokalne oblasti, velika podjetja, univerze in trgovske verige, obdelava plačilnih list pa seveda zahteva uporabo številnih občutljivih osebnih podatkov. Microsoftovi varnostni strokovnjaki so medtem že potrdili, da izkoriščevalci Log4Shella uporabljajo sicer legitimen program za omrežni nadzor Cobalt Strike, ki pa se ga lahko zlorabi za prevzem nadzora nad sistemom.
Zlorabe kritičnih ranljivosti sicer niso nič novega. Ne tako daljnega leta 2014 sta podobno internetno paniko sejala Heartbleed in Shellshock, čeprav so bili tudi v tem primeru varnostni popravki izdani v roku tedna ali dveh. Tudi takrat so bili načini zlorabe raznovrstni, od kraje varnostnih ključev do ustvarjanja vojsk botov za DDoS napade.
Log4Shell naj bi od petka razvil že več kot 60 mutacij, zato varnostna situacija ostaja vprašljiva.
Dodaj komentar
Komentiraj