Log4Shell je zranitelnost 0-day v knihovně Log4j Java, která útočníkům umožňuje stáhnout a spustit skripty na cílových serverech, které tak mohou zcela vzdáleně ovládat. Poté, co jeden uživatel zveřejnil na Twitteru ukázku konceptu (PoC), honeypoty společnosti Bitdefender začaly registrovat útoky využívající PoC, což jen podtrhuje, jak závažná tato zranitelnost je.
Log4j není jen další knihovna Javy. Je součástí serverů a služeb z celého světa, a používají ji společnosti jako Apple, Amazon, Cloudflare, Steam, různé typy serverů Apache, ElasticSearch a mnoho dalších.
Zranitelnost Log4Shell (CVE-2021-44228) má v rámci zranitelností 0-day hodnocení 10/10, což znamená, že ji útočníci mohou vzdáleně zneužít bez jakéhokoli vstupu od oběti a nevyžaduje k tomu vysoké technické znalosti.
Nadace Apache Software Foundation vydala nouzovou opravu a nyní je Log4j 2.15.0 k dispozici všem.
"Funkce JNDI používané v konfiguraci, zprávách protokolu a parametrech, nechrání před LDAP a dalšími koncovými body souvisejícími s JNDI ovládanými útočníkem. Útočník, který může ovládat zprávy protokolu nebo parametry zpráv protokolu, může spustit libovolný kód načtený ze serverů LDAP, pokud je povoleno nahrazování vyhledávání zpráv. Od verze log4j 2.15.0 je toto chování ve výchozím nastavení zakázáno," vysvětlují vývojáři v poznámkách k vydání.
Je obtížné odhadnout, jak masivní dopad bude mít Log4Shell, protože historicky záplaty (i pro vysoce závažné hrozby) trvají nějakou dobu, než je všichni aplikují, pokud vůbec. Běžně se setkáváme s úspěšně provedenými útoky využívajícími opravené zranitelnosti staré dva nebo tři roky.
Ihned po zveřejnění PoC Log4Shell začali protivníci skenovat internet a hledat zranitelné cíle. V honeypotech společnosti Bitdefender jsou vidět útočníci, kteří se snaží kompromitovat různé webové služby. Počet celkových skenů pomocí Log4Shell se během jediného dne zvýšil třikrát, což znamená, že jsme s největší pravděpodobností teprve na začátku. Ačkoli většina skenů nemá konkrétní cíl, zdá se, že přibližně 20 % pokusů hledá zranitelné služby Apache Solr.
Když globální síť honeypotů společnosti Bitdefender zaznamená výrazný nárůst aktivity, obvykle to znamená, že útočníci aktivně hledají způsoby, jak nově objevenou zranitelnost co nejdříve využít. Většina skenů, které nyní vidíme, pochází z IP adres z Ruska.
Společnost Bitdefender doporučuje všem společnostem používajícím knihovnu Log4j co nejdříve provést upgrade na nejnovější verzi. Provoz generovaný v honeypotech naznačuje, že útočníci o zranitelnosti vědí a vědí, jak je knihovna rozšířená. Domníváme se, že jsme svědky teprve začátku velmi dlouhé kampaně.