Софтуерната грешка на Log4j е „сериозен риск“ за целия интернет
Грешка в често използван софтуер направи милиони уеб сървъри уязвими за експлоатация от хакери
Хакерите могат да използват грешката Log4j за достъп до защитени данни
Голям пропуск в сигурността беше открит в софтуер, наречен Log4j, който се използва от милиони уеб сървъри. Бъгът ги прави уязвими за атака и екипи по целия свят се опитват да поправят засегнатите системи, преди хакерите да могат да ги експлоатират. „Интернет гори в момента“, каза Адам Майерс от охранителната компания Crowdstrike.
Какво се е случило?
Проблемът с Log4j беше забелязан за първи път във видеоиграта Minecraft , но бързо стана ясно, че въздействието му е много по-голямо. Софтуерът се използва в милиони уеб приложения, включително iCloud на Apple. Атаки, които използват грешката, известни като атаки Log4Shell, се случват от 9 декември , казва Crowdstrike.
Директорът на Агенцията за киберсигурност и инфраструктурна сигурност на САЩ Джен Истърли казва, че грешката в сигурността представлява „сериозен риск“ за интернет. „Тази уязвимост, която се използва широко от нарастващия набор от заплахи, представлява неотложно предизвикателство за защитниците на мрежата предвид широкото й използване“, казва тя.
Какво точно е Log4j?
Почти всяка част от софтуера, който използвате, ще съхранява записи за грешки и други важни събития, известни като регистрационни файлове. Вместо да създават своя собствена система за регистриране, много разработчици на софтуер използват Log4j с отворен код, което го прави един от най-разпространените пакети за регистриране в света.
Да не се налага преоткриването на колелото е огромно предимство, но популярността на Log4j сега се превърна в главоболие за глобалната сигурност. Недостатъкът засяга милиони софтуерни части, работещи на милиони машини, с които всички взаимодействаме.
Какво позволява грешката да правят хакерите?
Нападателите могат да подмамят Log4j да стартира злонамерен код, като го принуди да съхранява запис в дневника, който включва определен низ от текст. Начинът, по който хакерите правят това, варира от програма до програма, но в Minecraft се съобщава, че това е направено чрез чат кутии . Създава се запис в дневника за архивиране на всяко от тези съобщения, така че ако опасният низ от текст бъде изпратен от един потребител на друг, той ще бъде имплантиран в дневник.
В друг случай беше установено, че сървърите на Apple създават запис в дневника, записващ името, дадено на iPhone от неговия собственик в настройките. Въпреки това е направено, след като този трик бъде постигнат, нападателят може да стартира всеки код, който желае на сървъра, като например кражба или изтриване на чувствителни данни.
Защо този недостатък не беше открит по-рано?
Кодът, който съставя софтуера с отворен код, може да бъде разглеждан, изпълняван и дори – с проверки и баланси – редактиран от всеки. Тази прозрачност може да направи софтуера по-стабилен и сигурен, тъй като много двойки очи работят върху него. Но никой софтуер не може да бъде гарантиран безопасен.
Проблемът, който позволява атаката на Log4Shell, е бил в кода от доста време, но е бил разпознат едва в края на миналия месец от изследовател по сигурността в китайската компютърна фирма Alibaba Cloud. Той незабавно съобщи за проблема на Apache Software Foundation, американската организация с нестопанска цел, която наблюдава стотици проекти с отворен код, включително Log4j, за да й даде време да отстрани проблема, преди да бъде разкрит публично.
Това отговорно разкриване е стандартна практика за бъгове като тази, въпреки че някои ловци на бъгове също ще продават подобни уязвимости на хакери, позволявайки им да бъдат използвани тихо в продължение на месеци или години на събития – включително в софтуер за подслушване, продаван на правителства по целия свят.
Какво се случва сега?
Apache даде на уязвимостта „критична“ класация и се втурна да разработва решение. Сега стотици хиляди ИТ екипи се опитват да актуализират Log4j до версия 2.15.0, която беше пусната преди уязвимостта да бъде оповестена публично и най-вече отстранява проблема. Екипите също ще трябва да претърсват кода си за потенциални уязвимости и да следят за опити за хакване.
Макар че корекциите за коригиране на проблеми като този могат да се появят много бързо, особено когато са отговорно разкрити на екипа за разработка, е необходимо време на всеки да ги приложи. Компютрите и уеб услугите са толкова сложни сега и са толкова наслоени с десетки подредени нива на абстракция, код, работещ върху код, върху код, че може да отнеме месеци, докато всички тези услуги се актуализират.
И винаги ще има такива, които никога не го правят. Много прашни ъгли на интернет са подпряни на остарял хардуер с остарял, уязвим код – нещо, което хакерите могат лесно да използват.
.’.’ .’text/javascript’>
