Pre par nedelja otkriven je veliki problem u programskom jeziku Java koji se nalazi u nekim od najpopularnijih aplikacija i usluga na svetu, i samim tim za ovaj kratak period uspeo je da zahvati više miliona različitih uređaja.
Takozvani Log4shell otkriven je 9. decembra 2021. godine. Ključ problema je softverska greška u funkciji log4j koji je ugrađena u javu i omogućuje programu da zapisuje sve što se dešava dok je aplikacija uključena. Pre nego što je problem otkriven, hakeri su uspeli da nađu ranjivost u funkciji i da je iskoriste kako bi imali potpunu kontrolu nad uređajem. Prvi slučaj otkriven je u igrici „Minecraft“.
Specifičnost ovog virusa je izuzetna lakoća pristupa serveru – Log4Shell omogućava lak pristup internim mrežama, čineći ih podložnim pljački i gubitku podataka i napadima malvera. Samo je jedna pažljivo napisana rečenica dovoljna za potpunu kontrolu. Svaki uređaj koji koristi javu je potencijalno pod rizikom, a obzirom da javu koristi preko 20 miliona korisnika, na 7 milijardi različitih uređaja, ovaj virus će zagarantovano imati dalekosežne posledice u narednih nekoliko godina.
Ranjivost je ocenjena ocenom 10 na skali od jedan do 10. Stručnjaci su upozorili da ranjivost omogućava ekstremnu lakoću pristupa veb serveru i da za pristup vašim podacima nije potrebna lozinka – što je čini još opasnijom.
Šta je LOG4J / CVE-2021-44228 i kako funkcioniše?
Pre nekoliko dana, bezbednosne kuće i mediji počeli su da izveštavaju o otkriću kritične ranjivosti u biblioteci Apache Log4j, koju koriste milioni organizacija širom sveta, kako u svom internom softveru, tako i u proizvodima trećih strana koje koriste za pokretanje njihove operacije.
CVE-2021-44228 – Log4j/Log4Shell se može lako iskoristiti za preuzimanje kontrole nad ranjivim sistemima na daljinu i svesni smo da hakeri aktivno skeniraju internet u potrazi za pogođenim sistemima. Agencija Sjedinjenih Država za sajber bezbednost i bezbednost infrastrukture objavila je upozorenje o ovoj ranjivosti.
Glavna stvar kod pravljenja sigurne aplikacije je dati korisniku što manje opcija za manipulacijom podataka. U ovom slučaju problem je u nepravilnoj validaciji unosa. Ova greška može da dovede do toga da se neke, na prvi pogled, sigurne funkcije aplikacije, kao što je funkcija za ispis imena ili čak i nešto bezazlenije, mogu iskoristiti za dobijanje potpune kontrole nad kompromitovanim serverom preko interneta. Softverska ranjivost omogućava napadaču da:
- Pristupi kompletnoj mreži preko pogođenog uređaja ili aplikacije
- Pokrene bilo koji kod
- Pristupi svim podacima na pogođenom uređaju ili aplikaciji
- Izbriše ili šifruje datoteke i vama onemogući pristup vašem uređaju
U našem slučaju, problem se nalazi u funkciji JNDI (Java naming and directory interface). Ova funkcija služi da pretražuje i izvršava java objekte, i za to koristi razne interfejse kao što je LDAP (lightweight directory access protocol). Pronađeno je da ukoliko se ovoj funkciji pruži javna zlonamerna adresa, aplikacija će i dalje učitati adresu kao da je u pitanju standardan java objekat. Time je omogućeno da se izvrši bilo koji zlonamerni kod i samim tim je samo jedan red dovoljan za potpunu kontrolu.
Posledice
Iz razloga što je dovoljno samo prekopirati kod sa interneta i uneti ga gde god se java koristi, razni zlonamerni korisnici mogu i dalje da dobiju kontrolu nad uređajima.
U Sjedinjenim Američkim Državama, direktorka Agencije za sajber bezbednost Džen Išterli, opisala je ovaj problem kao „jedan od najozbiljnijih koje sam videla u celoj svojoj karijeri, ako ne i najozbiljniji“.
Kanadski centar za sajber bezbednost (CCCS) pozvao je organizacije da preduzmu hitne mere.
Nemački BSI označio je eksploataciju kao „ekstremno kritičnu situaciju“. Takođe je upozoreno da je zapanjujući broj uređaja već pogođen i da je obim jako teško proceniti.
Zbog svih ovih razloga jako je bitno da se log4j što pre unapredi na najnoviju verziju, jer je ovaj virus već sada ostavio posledice koje će biti osetne još dugo, dugo vremena.
Šta organizacije treba ODMAH da urade da zaštite svoj biznis?
Log4j je kritična pretnja i nijedna organizacija ne bi trebalo da pretpostavi da je bezbedna. Stoga, utvrđivanje izloženosti tome i otklanjanje ranjivosti treba da budu trenutno najvažniji zadatak svakog bezbednosnog tima. To znači da pretražujete celokupno IT stanje bez obzira da li serveri koriste Windows, Linux ili Mac za bilo koji Java kod i da se utvrdi da li koristi Log4j biblioteku.
Vrlo brzo nakon što je problem otkriven, izbačena je nova verzija log4j aplikacije u kojoj je log4shell virus onemogućen, što predstavlja olakšavajuću okolnost. Dakle sama popravka nije teška, problem je u sledećem: Gde god se koristi Java postoji šansa za log4shell virusom, što zahteva detaljnu proveru celog sistema. Gde god da pronađete Log4j, potrebno je da ga ažurirate na najnoviju verziju 2.15.0.
Autor: Lazar Milić, IT security expert consultant, Consultigence Group d.o.o.
