לדלג לתוכן

Log4Shell

מתוך ויקיפדיה, האנציקלופדיה החופשית

Log4Shell (קוד: CVE-2021-44228) היא פגיעות יום אפס של הספריה Log4j , ספריית לוגים פופולרית של Java, הכוללת ביצוע קוד שרירותי.[1][2] הפגיעות, שלא הבחינו בקיומה מאז 2013 - נחשפה באופן פרטי ל- קרן התוכנה אפאצ'י, ש-Log4j הוא פרויקט שלה, על ידי צוות האבטחה בענן של קבוצת עליבאבא ב-24 בנובמבר 2021, ונחשפה בפומבי ב-9 בדצמבר 2021.[3][4][5][6] Apache העניק ל-Log4Shell דירוג חומרת CVSS של 10, הגבוה ביותר האפשרי.[7] ההערכה היא שהפגיעות משפיעה על מאות מיליוני מכשירים.[6]

הפגיעות מנצלת את היכולת של Log4j המאפשרת בקשות לשרתי LDAP ו- JNDI שרירותיים, ולא בודק את התגובות,[8][1][9] המאפשר לתוקפים להריץ קוד Java שרירותי בשרת או במחשב אחר, או להדליף מידע רגיש.[5] רשימה של פרויקטי התוכנה המושפעים שלה פורסמה על ידי צוות האבטחה של Apache.[10] השירותים המסחריים המושפעים כוללים שירותי AWS,[11] Cloudflare, iCloud,[12] Minecraft: Java Edition, [13] Steam, Tencent QQ ועוד רבים אחרים.[8][14][15] LunaSec אפיינה את הפגיעות כ"כשל עיצובי בעל פרופורציות קטסטרופליות", [5] טנבל אמרה כי הניצול היה "הפגיעות הגדולה והקריטית ביותר אי פעם",[16] ו- Ars Technica כינתה זאת "ללא ספק הפגיעות החמורה ביותר אי פעם".[17]

רקע כללי

Log4j היא ספריית בקוד פתוח המאפשרת למפתחי תוכנה לרשום נתונים בתוך האפליקציות שלהם. נתונים אלה יכולים לכלול קלט משתמש.[18] הוא נמצא בשימוש בכל מקום ביישומי Java, במיוחד תוכנות ארגוניות.[5] נכתב במקור בשנת 2001 על ידי Ceki Gülcü, וכעת הוא חלק מ- Apache Logging Services, פרויקט של קרן התוכנה אפאצ'י.[19] חבר בוועדת אבטחת הסייבר לשעבר של הנשיא ברק אובמה, טום קלרמן, תיאר את אפאצ'י כ"אחת התומכות הענקיות של גשר המאפשר את רקמת החיבור בין עולמות היישומים וסביבות המחשב".[20]

התנהגות

ממשק השמות והספריות (JNDI) של Java מאפשר חיפוש של אובייקטי Java בזמן ריצה של התוכנית בהינתן נתיב לנתונים שלהם. JNDI יכול למנף מספר ממשקי ספריות, כל אחד מספק סכימה שונה של חיפוש קבצים. בין הממשקים הללו ניתן למצוא את LDAP, המאחזר את נתוני האובייקט ככתובת URL משרת מתאים, מקומי או מכל מקום באינטרנט.[21]

טיפול

תיקונים עבור פגיעות זו פורסמו ב-6 בדצמבר 2021, שלושה ימים לפני פרסום הפגיעות, בגרסה 2.15.0-rc1 של Log4j. [22] התיקון כלל הגבלת השרתים והפרוטוקולים שניתן להשתמש בהם לצורך חיפושים. חוקרים גילו באג קשור, CVE-2021-45046, המאפשר ביצוע קוד מקומי או מרחוק בתצורות מסוימות שאינן ברירת מחדל ותוקן בגרסה 2.16.0, אשר השביתה את כל התכונות באמצעות JNDI ותמיכה בחיפושי הודעות.[23][24] עבור גרסאות קודמות, המחלקה org.apache.logging.log4j.core.lookup. יש להסיר את JndiLookup מ-classpath כדי לצמצם את שתי הפגיעויות.[7] [23] תיקון מוקדם ומומלץ עבור גרסאות ישנות יותר היה להגדיר את מאפיין המערכת log4j2.formatMsgNoLookups ל- true, אך שינוי זה אינו מונע ניצול של CVE-2021-45046.[23]

גרסאות חדשות יותר של Java Runtime Environment (JRE) מפחיתות גם את הפגיעות הזו על ידי חסימת טעינת קוד מרחוק כברירת מחדל, אם כי וקטורי התקפה אחרים עדיין קיימים ביישומים מסוימים.[25]שגיאת ציטוט: חסר תג </ref> סוגר בשביל תג <ref>[26] פורסמו מספר שיטות וכלים כדי לסייע בזיהוי השימוש בגרסאות log4j פגיעות בחבילות Java בנויות.[27]

שימוש

הניצול מאפשר להאקרים להשיג שליטה על מכשירים פגיעים באמצעות Java.[6] כמה האקרים משתמשים בפגיעות כדי לנצל את היכולות של המכשירים של הקורבנות; השימושים כללו כריית מטבעות קריפטוגרפיים, יצירת רשתות בוטים, שליחת דואר זבל ופעילויות לא חוקיות אחרות כגון התקפות כופר.[6][28] בימים שלאחר פרסום הפגיעות, צ'ק פוינט עקבה אחרי מיליוני התקפות שיזמו האקרים, כאשר כמה חוקרים צפו בקצב של למעלה ממאה התקפות לדקה, שהביא בסופו של דבר למעל 40% מהרשתות העסקיות בעולם שהותקפו.[6][20]

לדברי מנכ"ל Cloudflare, מתיו פרינס, עדויות לשימוש או בדיקה של הניצול חוזרות כבר ב-1 בדצמבר, תשעה ימים לפני שנחשף בפומבי.[29] לדברי GreyNoise חברת האבטחה המקוונת, מספר כתובות IP סרקו אתרים לבדוק עבור שרתים עבור פגיעות.[30] כמה botnets התחילו לסרוק את הפגיעות, כולל Muhstik botnet עד ליום 10 בדצמבר, כמו גם "מיראי", צונאמי ו XMRig.[6][29][31] כמה קבוצות בחסות המדינה בסין ובאיראן ניצלו את הפגיעות, לפי צ'ק פוינט.[16]

תגובה והשפעה

ממשלתי

בארצות הברית, מנהל הסוכנות לאבטחת סייבר ותשתיות (CISA), ג'ן איסטרלי, תיאר את הניצול כ"אחד הרציניים שראיתי בכל הקריירה שלי, אם לא החמור ביותר", והסביר כי מאות מיליוני מכשירים הושפעו ומייעצים לספקים לתעדף עדכוני תוכנה.[32][6][28]

המרכז הקנדי לאבטחת סייבר (CCCS) קרא לארגונים לנקוט בפעולה מיידית.[33] סוכנות ההכנסה של קנדה סגרה זמנית את השירותים המקוונים שלה לאחר שנודע על הניצול, בעוד שממשלת קוויבק סגרה כמעט 4,000 אתרי האינטרנט שלה כ"צעד מונע".[34]

ה- Bundesamt für Sicherheit in der Informationstechnik (BSI) הגרמני הגדיר את הניצול כעל רמת האיום הגבוהה ביותר של הסוכנות, וכינה אותו "מצב איום קריטי ביותר" (מתורגם). הוא גם דיווח כי מספר התקפות כבר היו מוצלחות וכי עדיין קשה להעריך את היקף הניצול.[35][36] מרכז אבטחת הסייבר הלאומי של הולנד (NCSC) החל ברשימה מתמשכת של יישומים פגיעים.[37][38]

עסקים

חברת ניהול משאבי אנוש וניהול כוח אדם UKG, אחד העסקים הגדולים בתעשייה, הייתה מטרה למתקפת כופר שהשפיעה על עסקים גדולים.[17][39] UKG מסרה כי אין לה ראיות לניצול של Log4Shell בתקרית, אם כי האנליסט אלן ליסקה מחברת אבטחת הסייבר Recorded Future אמר כי ייתכן שיש קשר.[39]

כאשר חברות גדולות יותר החלו לשחרר תיקונים לניצול, הסיכון לעסקים קטנים גדל כאשר האקרים התמקדו ביעדים פגיעים יותר.[28]

קישורים חיצוניים

הערות שוליים

  1. ^ 1 2 Wortley, Free; Thrompson, Chris; Allison, Forrest (9 בדצמבר 2021). "Log4Shell: RCE 0-day exploit found in log4j 2, a popular Java logging package". LunaSec (באנגלית). נבדק ב-12 בדצמבר 2021. {{cite web}}: (עזרה)
  2. ^ "CVE-2021-44228". Common Vulnerabilities and Exposures. נבדק ב-12 בדצמבר 2021. {{cite web}}: (עזרה)
  3. ^ Povolny, Steve; McKee, Douglas (10 בדצמבר 2021). "Log4Shell Vulnerability is the Coal in our Stocking for 2021". McAfee (באנגלית). נבדק ב-12 בדצמבר 2021. {{cite web}}: (עזרה)
  4. ^ "Worst Apache Log4j RCE Zero day Dropped on Internet". Cyber Kendra. 9 בדצמבר 2021. נבדק ב-12 בדצמבר 2021. {{cite web}}: (עזרה)
  5. ^ 1 2 3 4 Newman, Lily Hay (10 בדצמבר 2021). "'The Internet Is on Fire'". Wired (באנגלית אמריקאית). ISSN 1059-1028. נבדק ב-12 בדצמבר 2021. {{cite news}}: (עזרה)
  6. ^ 1 2 3 4 5 6 7 Murphy, Hannah (2021-12-14). "Hackers launch more than 1.2m attacks through Log4J flaw". Financial Times. נבדק ב-2021-12-17.
  7. ^ 1 2 "Apache Log4j Security Vulnerabilities". Log4j. Apache Software Foundation. נבדק ב-12 בדצמבר 2021. {{cite web}}: (עזרה)
  8. ^ 1 2 Mott, Nathaniel (10 בדצמבר 2021). "Countless Servers Are Vulnerable to Apache Log4j Zero-Day Exploit". PC Magazine (באנגלית). נבדק ב-12 בדצמבר 2021. {{cite web}}: (עזרה)
  9. ^ Goodin, Dan (10 בדצמבר 2021). "Zero-day in ubiquitous Log4j tool poses a grave threat to the Internet". Ars Technica (באנגלית אמריקאית). נבדק ב-12 בדצמבר 2021. {{cite web}}: (עזרה)
  10. ^ "Apache projects affected by log4j CVE-2021-44228". 14 בדצמבר 2021. {{cite web}}: (עזרה)
  11. ^ "Update for Apache Log4j2 Issue (CVE-2021-44228)". Amazon Web Services. 12 בדצמבר 2021. נבדק ב-13 בדצמבר 2021. {{cite web}}: (עזרה)
  12. ^ Lovejoy, Ben (14 בדצמבר 2021). "Apple patches Log4Shell iCloud vulnerability, described as most critical in a decade". 9to5mac. {{cite web}}: (עזרה)
  13. ^ "Security Vulnerability in Minecraft: Java Edition". Minecraft. Mojang Studios. נבדק ב-13 בדצמבר 2021. {{cite web}}: (עזרה)
  14. ^ Goodin, Dan (10 בדצמבר 2021). "The Internet's biggest players are all affected by critical Log4Shell 0-day". ArsTechnica. נבדק ב-13 בדצמבר 2021. {{cite web}}: (עזרה)
  15. ^ Rundle, David Uberti and James (15 בדצמבר 2021). "What Is the Log4j Vulnerability?". {{cite web}}: (עזרה)
  16. ^ 1 2 Barrett, Brian. "The Next Wave of Log4J Attacks Will Be Brutal". Wired (באנגלית אמריקאית). ISSN 1059-1028. נבדק ב-2021-12-17.
  17. ^ 1 2 Goodin, Dan (2021-12-13). "As Log4Shell wreaks havoc, payroll service reports ransomware attack". Ars Technica (באנגלית אמריקאית). נבדק ב-2021-12-17. שגיאת ציטוט: תג <ref> בלתי־תקין; השם ":1" הוגדר כמה פעמים עם תוכן שונה
  18. ^ Yan, Tao; Deng, Qi; Zhang, Haozhe; Fu, Yu; Grunzweig, Josh (10 בדצמבר 2021). "Another Apache Log4j Vulnerability Is Actively Exploited in the Wild (CVE-2021-44228)". Unit 42. Palo Alto Networks. {{cite web}}: (עזרה)
  19. ^ "Apache Log4j 2". Apache Software Foundation. נבדק ב-12 בדצמבר 2021. {{cite web}}: (עזרה)
  20. ^ 1 2 Byrnes, Jesse (2021-12-14). "Hillicon Valley — Apache vulnerability sets off alarm bells". TheHill (באנגלית). נבדק ב-2021-12-17. שגיאת ציטוט: תג <ref> בלתי־תקין; השם ":5" הוגדר כמה פעמים עם תוכן שונה
  21. ^ Graham-Cumming, John (10 בדצמבר 2021). "Inside the Log4j2 vulnerability (CVE-2021-44228)". The Cloudflare Blog (באנגלית). נבדק ב-13 בדצמבר 2021. {{cite web}}: (עזרה)
  22. ^ "Restrict LDAP access via JNDI by rgoers #608". Log4j (באנגלית). 5 בדצמבר 2021. נבדק ב-12 בדצמבר 2021. {{cite web}}: (עזרה)
  23. ^ 1 2 3 "CVE-2021-45046". Common Vulnerabilities and Exposures. 15 בדצמבר 2021. נבדק ב-15 בדצמבר 2021. {{cite web}}: (עזרה)
  24. ^ Greig, Jonathan (14 בדצמבר 2021). "Second Log4j vulnerability discovered, patch already released". ZDNet (באנגלית). נבדק ב-17 בדצמבר 2021. {{cite web}}: (עזרה)
  25. ^ Ducklin, Paul (12 בדצמבר 2021). "Log4Shell explained – how it works, why you need to know, and how to fix it". Naked Security. Sophos. נבדק ב-12 בדצמבר 2021. {{cite web}}: (עזרה)
  26. ^ "Exploiting JNDI Injections in Java". Veracode. 2019-01-03. נבדק ב-2021-12-15.
  27. ^ "Guide: How To Detect and Mitigate the Log4Shell Vulnerability (CVE-2021-44228)". www.lunasec.io (באנגלית). 13 בדצמבר 2021. נבדק ב-13 בדצמבר 2021. {{cite web}}: (עזרה)
  28. ^ 1 2 3 Woodyard, Chris. "'Critical vulnerability': Smaller firms may find it harder to stop hackers from exploiting Log4j flaw". USA Today (באנגלית אמריקאית). נבדק ב-2021-12-17. שגיאת ציטוט: תג <ref> בלתי־תקין; השם ":2" הוגדר כמה פעמים עם תוכן שונה
  29. ^ 1 2 Duckett, Chris. "Log4j RCE activity began on 1 December as botnets start using vulnerability". ZDNet (באנגלית). נבדק ב-13 בדצמבר 2021. {{cite web}}: (עזרה)
  30. ^ "Exploit activity for Apache Log4j vulnerability - CVE-2021-44228". Greynoise Research. 10 בדצמבר 2021. נבדק ב-14 בדצמבר 2021. {{cite web}}: (עזרה)
  31. ^ Zugec, Martin (13 בדצמבר 2021). "Technical Advisory: Zero-day critical vulnerability in Log4j2 exploited in the wild". Business Insights. Bitdefender. {{cite web}}: (עזרה)
  32. ^ "Statement from CISA Director Easterly on "Log4j" Vulnerability". CISA. 11 בדצמבר 2021. {{cite web}}: (עזרה)
  33. ^ "Statement from the Minister of National Defence on Apache Vulnerability and Call to Canadian Organizations to Take Urgent Action". Government of Canada (באנגלית). 12 בדצמבר 2021. {{cite web}}: (עזרה)
  34. ^ Cabrera, Holly (12 בדצמבר 2021). "Facing cybersecurity threats, Quebec shuts down government websites for evaluation". CBC News. נבדק ב-12 בדצמבר 2021. {{cite news}}: (עזרה)
  35. ^ Sauerwein, Jörg (12 בדצמבר 2021). "BSI warnt vor Sicherheitslücke". Tagesschau (בגרמנית). {{cite web}}: (עזרה)
  36. ^ "Warnstufe Rot: Schwachstelle Log4Shell führt zu extrem kritischer Bedrohungslage" [Red alarm: Log4Shell vulnerability causes extremely critical threat situation] (הודעה לעיתונות) (בגרמנית). Federal Office for Information Security. 11 בדצמבר 2021. {{cite press release}}: (עזרה)
  37. ^ J. Vaughan-Nichols, Steven (14 בדצמבר 2021). "Log4Shell: We Are in So Much Trouble". The New Stack. {{cite web}}: (עזרה)
  38. ^ "NCSC-NL/log4shell". National Cyber Security Centre (Netherlands). נבדק ב-14 בדצמבר 2021. {{cite web}}: (עזרה)
  39. ^ 1 2 Bray, Hiawatha (15 בדצמבר 2021). "Emerging 'Log4j' software bug spawns worldwide worry over cyber attacks - The Boston Globe". The Boston Globe (באנגלית אמריקאית). נבדק ב-2021-12-17. {{cite web}}: (עזרה) שגיאת ציטוט: תג <ref> בלתי־תקין; השם ":3" הוגדר כמה פעמים עם תוכן שונה
אוחזר מתוך "https://he.wikipedia.org/w/index.php?title=Log4Shell&oldid=32817367"