Otkrivena ranjivost Apache log4j koja omogućava neautorizovano udaljeno izvršavanje koda

Apache Software Foundation je objavila ispravke za ovu zero day ranjivost koja se u ovo trenutku aktivno eksploatiše. Ukoliko se ranjivost zloupotrijebi, Apache Log4j biblioteka se može koristiti za izvršavanje malicioznog koda, što omogućava kompletno preuzimanje pogođenog sistema.

ZLOUPOTREBA RANJIVOSTI

Ranjivost CVE-2021-44228 poznata i pod imenima Log4Shell ili LogJam, omogućava neautorizovano, udaljeno izvršavanje koda (RCE) na bilo kojoj aplikaciji koja koristi Apache Log4j open source framework. Ocjena ove ranjivosti je maksimalnih 10 prema CVSS sistemu ocjenjivanja, što ukazuje na ozbiljnost problema.

Kod za zloupotrebu ranjivosti CVE-2021-44228 je javno dostupan. Svaki korisnički unos preko Java aplikacija koja koristi ranjivu verziju log4j 2.x može biti izložen ovom napadu, u zavisnosti od toga kako se evidentiranje implementira u Java aplikaciji. Do sada su javno prijavljeni navodno uspješni napadi na iCloud, Twitter, Amazon, Baidu i Minecraft.

Ovaj napad je izuzetno jednostavan za izvođenje i ne zahtijeva veliku stručnost napadača.

S obzirom na lakoću eksploatacije i rasprostranjenost Log4j-a očekuje se da će broj napada na ranjive servere porasti u narednim danima, zbog čega je neophodno odmah otkloniti nedostatak.

U peč-u (patch) Log4J 2.15.0 koji je trebalo da riješi ovu ranjivost su bile prisutne najmanje dvije ranjivosti koje su eksploatisane.
Istraživači sada urgiraju organizacije da instaliraju novi peč, odnosno verziju 2.16.0, što je prije moguće.

Peč 2.15.0 bio je nepotpun u određenim konfiguracijama koje nisu podrazumijevane i omogućio je napadačima da sprovedu napade uskraćivanja servisa, odnosno DoS napade, čiji je cilj da onemogući sistem da pruža usluge korisnicima. Iako DoS napadi najčešće ne dovode do krađe, oni ipak žrtvu napada mogu koštati mnogo vremena i novca.

Najčešće mete ovakvih napada su veb serveri banaka, medijskih kuća, vladinih institucija ili internet trgovina, ali su takođe česti i napadi na DNS infrastrukturu i servise elektronske pošte. DoS napadi se izvršavaju tako što napadač šalje veliku količinu podataka ka žrtvi napada, ili informacije koje mogu prouzrokovati pad sistema. U oba slučaja, napadač sprečava legitimne korisnike sistema da koriste servise ili resurse koji su im potrebni.

Istraživači iz kompanije Cloudflare, u međuvremenu, rekli su da je Log4J još uvijek “pod aktivnom eksploatacijom”. Kompanija je urgirala ljude da ažuriraju na verziju 2.16.0 što je prije moguće.

U Cloudflare objavi nije navedeno da li napadači koriste ranjivost samo za izvođenje DoS napada ili je takođe koriste za krađu podataka. Sa druge strane ni iz kompanije Praetorian nisu pružili mnogo informacija, jer ne žele da daju hakerima “municiju” koju bi mogli da iskoriste.