A nagy technológia cégek érintettsége miatt rengeteg szervezet és alkalmazások millió lehetnek fenyegetettek. A kockázatos alkalmazásokról több lista is elérhető már a neten.

Maga a támadási felület nem új, egy 2016-os Black Hat konferencián már felhívták rá a figyelmet. A sérülékenységet a kiberbűnözők sajnos aktívan elkezdték kihasználni. A Check Point kiberbiztonsági cég például az eszközei által védett vállalati hálózatok közel felénél észlelt már támadást.

"Nehéz lenne olyan vállalatot találni, amely nincs veszélyben" - mondta Joe Sullivan, a Cloudflare biztonsági vezetője. Amit Yoran, a Tenable kiberbiztonsági cég vezérigazgatója pedig úgy fogalmazott a Guardian szerint, hogy ez "az elmúlt évtized legnagyobb, legkritikusabb sebezhetősége".

A hiba kihasználásának első nyilvánvaló jelei a gyerekek körében rendkívül népszerű, a Microsoft tulajdonában lévő Minecraft online játékban mutatkoztak. A játék felhasználói már arra is használták, hogy egy rövid üzenet beillesztésével egy csevegőmezőbe programokat  futtassanak más felhasználók számítógépén. A Microsoft közölte, hogy szoftverfrissítést adott ki a Minecraft-felhasználók számára.

Hogyan épül fel egy támadás?

A Log4j sérülékeny verziói közül bármelyik támadható ezek a

  • 2.0-beta 9-től 2.12.1 (CVE-2021-44228)
  • 2.13.0-tól 2.15.0 (CVE-2021-44228)
  • 2.15.0 (CVE-2021-45046)

A támadóknak először meg kell találniuk a sérülékeny programban azt az értéket amit logoltak. Ezek lehetnek paraméterek amiket megadunk egy url-nek, bemeneti mezők, felhasználónevek, jelszavak de gyakorlatilag bármilyen, felhasználó által megadott adat.

A sérülékenységet éppen a támadási felület nagysága teszi kritikussá és hogy egy egysoros paranccsal gyakorlatilag átvehetjük az irányítást a megtámadott szerver felett

- magyarázzák a 4iG Nyrt. szakértői.

A támadók először egy Java Naming and Directory Interface (JNDI) payload-ot juttatnak a sérülékeny alkalmazásba, amelyet a Log4j logol. Ezt követően a program felparsolja a szöveget és megpróbálja feloldani.

A payloadban a támadó Lightweight Directory Access Protocol-t (LDAP) használ. A Log4j ilyenkor egy LDAP lekérdezést indít a támadó által birtokolt szerverre. A támadó hivatkozásban megadott gépén egy LDAP Referer-t futtat, ami fogadja a beérkező JNDI kereséseket, majd átirányítja őket egy szintén általa hosztolt HTTP szerverre.

Ezen a HTTP szerveren a támadó egy kártékony java osztályt helyezett el. Ezt hajtják majd végre a megtámadott szerveren. Ebben a java osztályban tud a támadó olyan parancsokat elhelyezni, ami távoli hozzáférést biztosít innentől számára a szerverünkhöz, vagy kártékony kódok futtatását teszi lehetővé, akár zsarolóvírusok telepítését.

Hogyan találhatjuk meg a sérülékeny alkalmazásainkat?

A 4iG számára minden technikai megoldás adott, hogy a sérülékenységet a cégek megtalálják, és kiiktassák a fenyegetéseket.

A sérülékeny alkalmazások felkutatásában - a 4iG egyik partnerének - a TrendMicro-nak az egyik szolgáltatása segíthet. A vállalat létrehozott egy oldalt, ahol bárki tesztelheti webszerverének sérülékenységét, azonban erről fontos tudni, hogy a támadási felület nagysága miatt ha nem jelez vissza találatot az nem feltétlenül jelenti azt, hogy nem vagyunk érintettek.

Getty Images

A cég egy másik partnere, a Qualys, amelynek több terméke is 30 napra ingyenesen elérhető. Ezek segíthetnek feltárni a sérülékeny alkalmazásokat, szervereket és a javításra is kínálnak megoldást.

  • A Qualys CSAM, a Qualys Asset Management alkalmazása segít azonosítani azokat az eszközöket ahol direkt módon telepítették a Log4j-t. A gyártó dolgozik azon is, hogy a nem standard módon telepített alkalmazásokat is felderítse.
  • A Qualys VMDR, a Qualys Sérülékenység Menedzsment, Detektáló és Kezelő alkalmazása, amellyel felderíthetővé válnak a már ismerten érintett alkalmazások és a patchelésükben is segítséget nyújt.
  • A Qualys WAS, a Qualys Web Applikáció Scannere, amellyel web alkalmazásainkat tesztelhetjük, hogy sérülékenyek-e. A szignatúrákat és a detektálási mechanizmusokat folyamatosan bővítik.  

Hogyan védekezhetünk a támadások ellen?

A legjobb védekezés az érintett alkalmazások azonnali patchelése. Sajnos a december 14-én kiadott javítás nem volt teljes körű és újabb frissítésre volt szükség. A mind a két sérülékenységet tartalmazó javított verzió a Log4j 2.16 innen letölthető. Az AWS által készített hotpatch program pedig segíthet a JVM-eket hotpatchelni a Log4j javított verziójára.

Sajnos a támadás kihasználásának detektálását rendkívül nehézkessé teszi, hogy gyakorlatilag végtelen módon lehet bypassolni a dektálási módszereket, ezért most különösen fontos, hogy az ilyen támadások detektálására használható eszközeinket naprakészen tartsuk - javasolja a 4iG.

A cikk megjelenését a 4iG Nyrt. támogatta.