Šta je Log4j (Log4Shell) ranjivost?

Ranjivost pod nazivom Log4j je ovih dana skrenula pažnju IT stručnjaka kao jedan od najgorih sigurnosnih propusta u novije vreme. Ranjivost je zasnovana na logging biblioteci otvorenog koda koju u većini aplikacija koriste čak i poznati tehnološki giganti, druge velike kompanije, pa i razne državne agencije i službe.

Šta je Log4j (Log4Shell) ranjivost?

Log4j ranjivost je prvi put otkrivena 9. decembra, iako neki izveštaji kažu da se problem prvi put pojavio 1. decembra. Ranjivost je nazvana Log4Shell pod zvaničnom oznakom CVE-2021-44228 (CVE broj je jedinstveni broj koji se daje svakoj ranjivosti otkrivenoj širom sveta).

Razvijen i održavan od strane Apache Softvare Foundation otvorenog koda, Log4Shell može da radi na svim glavnim platformama uključujući Windows, Linux i Apple-ov macOS. Glavna namena mu je evidentiranje rada aplikacije putem logova unutar sistema. S obzirom da je evidentiranje kroz logove ključno u razvoju softvera, jer ukazuje na stanje sistema tokom rada, dostupni logovi sistema u bilo kom trenutku mogu biti od velike pomoći u praćenju problema. Kao što je poznato, programeri koriste Log4j tokom različitih faza razvoja. Takođe se koristi u onlajn igrama, softverima za kompanije i cloud data centrima. Ova Apache Log4j biblioteka otvorenog koda ima preko 400.000 preuzimanja sa svog Github projekta, što je prilično veliki broj potencijalnih meta za hakere.

Tehnološke kompanije kao što su Apple, Microsoft, Google se oslanjaju na ovu biblioteku otvorenog koda, a isti slučaj je i sa poslovnim aplikacijama iz CISCO-a, Netapp-a, CloudFare-a, Amazon-a i drugih. Ranjivost se smatra veoma ozbiljnom jer bi njena zloupotreba mogla da omogući hakerima da kontrolišu java web servere i pokrenu takozvano „daljinsko izvršavanje koda“ (Remote Code Execution). Jednostavnim rečima, ranjivost bi mogla omogućiti hakeru da preuzme kontrolu nad napadnutim sistemom.

Poseban problem je to što je ova biblioteka prisutna u svim aplikacijama, a eksploatacija daje potpunu kontrolu servera i lako se izvršava. Iz tog razloga stručnjaci za IT bezbednost ocenjuju ovu ranjivost kao prilično ozbiljnu.

Da li hakeri već koriste ovu ranjivost?

Čini se da je većina napada koje su stručnjaci za IT bezbednost primetili fokusirana na rudarenje kriptovaluta na račun žrtava. Takođe, hakeri su brzo reagovali i nakon pokušaja update-a koji je trebalo da reši problem sa ovom ranjivošću.Tako je brzo nakon objave zakrpe primećeno da i ona ima bar dve ranjivosti, od kojih su u tom trenutku hakeri aktivno zloupotrebljavali bar jednu. Stručnjaci zato pozivaju sve kompanije da što pre ažuriraju zakrpu na verziju koja je objavljena kao 2.16.0.

Neki korisnici su objavili na Twitter-u da jednostavna promena imena iPhone-a u Java string kod, kroz opciju Settings, omogućava pristup logovima aplikacije.

Kako su reagovale pogođene tehnološke kompanije?

Minecraft (u vlasništvu Microsoft-a) je bio je jedan od prvih koji su priznali grešku i izdao izjavu u kojoj kaže da je Java izdanje igre u velikom riziku da bude kompromitovano. U saopštenju kompanije se dodaje da je ona brzo primenila zakrpe, ali će korisnici i dalje morati da preduzmu dodatne korake da obezbede igru i sopstvene servere.

Google je saopštio da „trenutno procenjuje potencijalni uticaj ranjivosti za Google Cloud proizvode i usluge. Ovo je događaj koji je u toku i nastavićemo da pružamo ažuriranja putem naših kanala komunikacije sa klijentima.”

NetApp, koji obezbeđuje rešenja za upravljanje podacima za Cloud, takođe je objavio da su njegovi proizvodi ranjivi, dodajući da „uspešno korišćenje ove ranjivosti može dovesti do otkrivanja osetljivih informacija, dodavanja ili modifikacije podataka ili uskraćivanja usluge (DoS ).”

Cisco je rekao da je nekoliko njegovih proizvoda, uključujući popularni Cisco Webex Meeting server, ranjivo i da istražuje da li je više njih u opasnosti.

Cloudfare je takođe pozvao svoje klijente da ažuriraju verzije Log4j i koriste softver za ažuriranje zakrpe.

Kompanija VMvare je izdala saopštenje u kojem se navodi da su i oni registrovali pokušaje eksploatacije i da su neki od njihovih glavnih proizvoda pogođeni ovim propustom.

Apple je izjavio da je zakrpio Log4Shell iCloud ranjivost, nakon što je prošle nedelje otkriveno da je ona dovela u opasnost milione aplikacija.

Kako da se zaštitite od Log4j ranjivosti?

Najbolji način odbrane od Log4j-a u ovom trenutku je instaliranje firewall-a za web aplikacije (WAF). Ako vaša organizacija već koristi WAF, najbolje je da na njemu instalirate pravila koja se fokusiraju na Log4j.