Szinte nincs olyan szervezet, amely ne lenne veszélyben a Log4Shell névre keresztelt sebezhetőség miatt, a biztonsági szakemberek riadót fújtak. Összeszedtük, mit lehet tudni a kritikus hibáról.
Világszerte fenyegeti a szervezeteket és különféle vállalati szolgáltatásokat egy nemrég azonosított nulladik napi sebezhetőség (CVE-2021-44228), ami a naplózásra használt Apache Log4J segédeszköz könyvtárában bújik meg – számolt be róla a The Guardian. Bár tennivalójuk ezzel a szolgáltatóknak és fejlesztőknek van, közvetve a felhasználókat is érintheti, mivel a szolgáltatásokon keresztül az ő adataik is veszélybe kerülhetnek.
A nulladik napi sérülékenység jellemzője, hogy addig nem válik láthatóvá a szakértők számára, amíg ténylegesen azt nem használják ki kiberbűnözők valamilyen támadáshoz. Az érintett szoftver fejlesztője addig nem is tud róla: sok esetben egy másik cég, vagy biztonsági szakemberek hívják fel a figyelmét a problémára. Jellemzően a javítás kiadásakor szokták tájékoztatni a nyilvánosságot a sérülékenység létezéséről, megelőzendő azt, hogy más hackerek is tudomást szerezzenek róla, és még idő előtt támadásba lendüljenek.
A Log4Shell névre keresztelt hibán keresztül támadók messziről tudnak hozzáférni belső hálózatokhoz, hogy adatot lophassanak, kártékony kódokat futtassanak, vagy akár adatokat manipuláljanak az érintett szervezetek rendszerein keresztül, akár a végfelhasználóknak is károkat okozva. A következő hetekben így főleg a vállalatoknak lesz sok tennivalójuk, a netezők egyelőre annyit tudnak tenni, hogy frissítik a mindennapok során használt programokat minden eszközükön, és figyelik a biztonsági szakemberek közléseit.
A hiba többek szerint is az elmúlt évek, ha nem az évtized legsúlyosabbika, mivel egy olyan naplózó segédprogramban bújik meg, ami mindenütt megtalálható a felhőszerverekben, a különféle iparágak és kormányzatok szektorok által használt vállalati szoftverekben. Ezernyi, ha nem milliónyi alkalmazás használja, többek közt a széles körben elterjedt Apache Struts2, Apache Solr, Apache Druid és Apache Flink keretrendszerek része – világít rá az Ars Technica. (Ezek azok a fejlesztői környezetek, amelyekben a fejlesztők Java-alapú webes alkalmazásokat készítenek.)
„Lángokban áll az internet. Az emberek igyekeznek a hibát befoltozni, miközben mások próbálják azt gyorsan kihasználni”
– mondta Adam Meyers, a Crowdstrike biztonsági cég alelnöke a Log4Shellel kapcsolatban. A szakértő szerint azután, hogy péntek reggel a nyilvánosság is értesült a problémáról, és az Apache kiadta a szükséges foltozáscsomagot, rá 12 órára a kiberbűnözők már csatasorba álltak a gyorsan elkészített kiberfegyvereikkel.
Joe Sullivan, az online szolgáltatásokat védő Cloudflare biztonsági főnöke szerint nincs olyan vállalat, amely ne lenne veszélyben. Amit Yoran, a Tenable biztonsági cég vezetője is úgy gondolja, hogy óriási a baj, egyenesen az elmúlt évtized legkritikusabb sérülékenységének tartja a Log4Shellt, sőt ennél is messzebb megy: az egész modern informatika történetének.
A sérülékenységek súlyosságának meghatározására használatos nemzetközi CVSS pontozási rendszerben tízből tíz pontot kapott a Log4Shell, mivel azon keresztül teljes hozzáférést lehet kapni zárt rendszerekhez, méghozzá jelszó nélkül, amit a programozáshoz csak alapszinten értők is viszonylag könnyen kivitelezhetnek.
Az ajánlások szerint mindenhol, ahol Java alkalmazások vannak, ott ellenőrizni kell a Log4J 2 programkönyvtár verzióját. A hazai Nemzetbiztonsági Szakszolgálat Nemzeti Kibervédelmi Intézet (NBSZ NKI) is riasztást adott ki, a szervezet az Apache Foundation ajánlását idézi: arra kéri a szervezeteket, hogy frissítsék az érintett könyvtárat a 2.15.0 verzióra, mivel a hiba a Log4J 2.0-beta9 és 2.14.1 közti változatokat érinti. A Microsoft és a Sophos is közzétette ajánlásait a frissítéssel kapcsolatban a szakembereknek.
Egyelőre sok a kérdés
A hibát november 24-én jelentette a fejlesztők felé az Alibaba, a következő két hétben készült el a javítás. Ez nem jelenti azt, hogy innentől kezdve minden egyszerű lenne, hiszen a rendszerek frissítése hosszabb folyamat, és sok esetben eléggé összetett is. Az olyan szervezetek és felhőszolgáltatók, mint az Amazon viszonylag könnyedén tudják frissíteni a webszervereiket, de a külsős felek programjaiba beágyazott Apache szoftvert csak maguk a tulajdonosok tudják frissíteni, ami időbe telik. A folyamat nem mindenkinél egyidőben megy végbe, addig is ott lesz a potenciális veszélyhelyzet.
A fenyegetéselemzők és biztonsági szakemberek egyelőre még értékelik az eddigi károkat, illetve a következő hetekre és hónapokra vonatkozó kilátásokat. Egyelőre annyit tudni, hogy az első ismert eset a Minecraft játékhoz fűződik. Meyers szerint egyes rosszakarók már kihasználták a felületet, hogy chatboxokba bemásolt utasításokkal parancsokat hajtsanak végre más felhasználók számítógépén a távolból. A Microsoft azóta már elvégezte a szükséges javítást, így akik nyilvános szervereken játszanak, nekik ajánlott mindenképpen frissíteni a játékklienst.
Az Ars Technica prognózisa szerint a nagyobb cégek, bankok és kereskedők vélhetően már riasztották az informatikai szakembereiket, hogy telepítsék a szükséges javítást. A lap idézi azt a 2017-es esetet, amikor támadók behatoltak az Equifax hitelbíráló számítógépes rendszerébe, és 145 millió amerikai állampolgár társadalombiztosítási adatait és más, rendkívül érzékeny információkat loptak el. Ez annak következtében történt, hogy a vállalat nem javított egy rést. Ez a korábbi példa jól mutatja, mekkora problémát tud okozni az ilyen típusú hanyagság.
Forrás: 24.hu