מנהל CISA, ג'ן איסטרלי אומרת שפגם האבטחה של Log4j הוא הגרוע ביותר שהיא ראתה ב-carrer שלו ו אנשי אבטחה יתמודדו עם ההשלכות משגיאה במשך זמן רב.
אם נותר ללא תיקון ליקוי האבטחה העיקרי שהתגלה לפני חודש בספריית הרישום Java Apache Log4j מהווה סיכונים למגזרים גדולים באינטרנט, האקרים יכולים לנצל את הפגיעות של תוכנות בשימוש נרחב כדי לחטוף שרתי מחשב, ולהעמיד כל דבר, החל מאלקטרוניקה לצרכן ועד למערכות ממשלתיות וארגוניות, בסכנה של מתקפת סייבר.
ב-9 בדצמבר הוא התגלה פגיעות בספריית היומן של Apache log4j. ספרייה זו נמצאת בשימוש נרחב בפרויקטי פיתוח יישומים של Java / J2EE, וכן על ידי ספקים של פתרונות תוכנה סטנדרטיים מבוססי Java / J2EE.
Log4j כולל מנגנון חיפוש שניתן להשתמש בו כדי לבצע שאילתות באמצעות תחביר מיוחד במחרוזת פורמט. כברירת מחדל, כל הבקשות מתבצעות עם הקידומת java: comp / env / *; ובכל זאת, המחברים יישמו את האפשרות להשתמש בקידומת מותאמת אישית באמצעות סמל נקודתיים במפתח. כאן נמצאת הפגיעות: אם jndi: ldap: // משמש כמפתח, הבקשה עוברת לשרת ה-LDAP שצוין. ניתן להשתמש גם בפרוטוקולי תקשורת אחרים כגון LDAPS, DNS ו-RMI.
לכן, שרת מרוחק שנשלט על ידי תוקף עלול להחזיר אובייקט לשרת פגיע, מה שעלול להוביל לביצוע קוד שרירותי במערכת או לדליפת נתונים סודיים. כל מה שתוקף צריך לעשות הוא לשלוח מחרוזת מיוחדת דרך המנגנון שכותב מחרוזת זו לקובץ יומן ולכן מנוהל על ידי ספריית Log4j.
ניתן לעשות זאת באמצעות בקשות HTTP פשוטות, למשל, אלו הנשלחות דרך טפסי אינטרנט, שדות נתונים וכו', או עם כל סוג אחר של אינטראקציות באמצעות הרישום בצד השרת.
- גרסה 2.15.0 לא פתרה בעיה אחרת, CVE-2021-45046, שאפשרה לתוקף מרוחק לשלוט במפת ההקשר של ה-Thread Context (MDC) כדי להכין ערך זדוני באמצעות דפוס חיפוש JNDI. התוצאה יכולה להיות ביצוע קוד מרחוק, למרבה המזל לא בכל הסביבות.
- גרסה 2.16.0 תיקנה בעיה זו. אבל זה לא תיקן את CVE-2021-45105, ש-Apache Software Foundation מתאר כך:
"גרסאות Apache Log2.0j1 2.16.0-alpha4 עד 2 לא הגנו מפני חזרה בלתי מבוקרת של חיפושים עם הפניה עצמית. כאשר תצורת הרישום משתמשת בפריסת תבנית שונה מברירת המחדל עם חיפוש הקשר (לדוגמה, $$ {ctx: loginId}), תוקפים השולטים בנתוני הקלט של Thread Context Map (MDC) יכולים ליצור נתוני כניסה. כניסה זדונית המכילה חיפוש רקורסיבי . , אשר יוצר StackOverflowError שתסיים את התהליך. זה ידוע גם בתור התקפת מניעת שירות (DOS).
תוכנית הבאונטי של הספק, Zero Day Initiative, תיארה את הפגם באופן הבא:
"כאשר משתנה מקונן מוחלף במחלקה StrSubstitutor, הוא קורא באופן רקורסיבי למחלקת ההחלפה (). עם זאת, כאשר המשתנה המקנן מתייחס למשתנה שיש להחליף, רקורסיה נקראת עם אותה מחרוזת. זה מוביל לרקורסיה אינסופית ולמצב DoS בשרת.
באג קריטי נוסף בביצוע קוד מרחוק שאחריו כעת CVE-2021-44832 התגלה באותה ספריית יומנים של Apache Log4j. זוהי הפגיעות הרביעית בספריית Log4j.
מדורגת "בינונית" בחומרתה עם ציון של 6,6 בסולם CVSS, הפגיעות נובעת מהיעדר בקרות נוספות על גישת JDNI ב-log4j.
צוות האבטחה של Apache הוציא גרסה נוספת של Apache Log4J (גרסה 2.17.1) אשר מתקנת את באג ביצוע קוד מרחוק שהתגלה לאחרונה CVE-2021-44832. זהו מצב רע נוסף עבור רוב המשתמשים אך שוב מומלץ מאוד לעדכן את המערכת שלך כדי לתקן בעיה קריטית זו.
אף סוכנות פדרלית בארה"ב לא נפגעה בשל הפגיעות, אמרה ג'ן איסטרלי לכתבים בשיחה. בנוסף, לא דווחו מתקפות סייבר גדולות הקשורות לבאג בארצות הברית, למרות שהתקפות רבות אינן מדווחות, אמר.
איסטרלי אמר את היקף הפגיעות, משפיע על עשרות מיליוני מכשירים המחוברים לאינטרנט, עושה את זה לגרוע ביותר שהוא ראה אי פעם בקריירה שלו. תוקפים עשויים להקדיש את זמנם, הוא אמר, ולהמתין לחברות ואחרות להנמיך את ההגנות שלהם לפני שהם יתקפו.
"אנו מקווים ש-Log4Shell ישמש לפריצות בעתיד", אמר Easterly. הוא ציין כי פרצת הנתונים של Equifax ב-2017, שפגעה במידע האישי של כמעט 150 מיליון אמריקאים, נבעה מפגיעות בתוכנת קוד פתוח.
עד כה, רוב הניסיונות לנצל את הבאג התמקדו בכריית מטבעות קריפטוגרפיים ברמה נמוכה או ניסיונות לפתות מכשירים לרשתות בוטים, אמר.
מקור: https://www.cnet.com
זה בגלל הנדסת יתר. כל רכיב חייב לעשות רק דבר אחד ולעשות אותו היטב. אבל למפתחים יש הרגל רע להציב שכבות ועוד שכבות ופונקציות מיותרות, מה שלא הופך את זה למורכב יותר ונוטה לכישלון מסוג זה...אמרתי...