Potężna luka Log4Shell zagraża tysiącom firm – CISA nakazuje szybką reakcję

W ubiegłym tygodniu wykryto bardzo niebezpieczną lukę w zabezpieczeniach biblioteki Apache Log4j – CVE-2021-44228, zwaną także Log4Shell oraz LogJam. Jest ona o tyle poważna, że cyberprzestępcy mogą z jej użyciem dokonać zdalnego uruchomienia dowolnego kodu i potencjalnie uzyskać całkowitą kontrolę nad systemem ofiary. Otrzymała ona ocenę 10 na 10 punktów w kontekście krytyczności.

Działania związane z tą luką są porównywane już do głośne afery SolarWinds, w której ucierpiały tysiące firm i instytucji na całym świecie. Ataku dokonywała grupa ponad 1000 programistów.

Czym jest luka Log4Shell?

Apache Logging Project (Apache Log4j) to biblioteka służąca do zapisywania dzienników zdarzeń. Jest ona wykorzystywana przez miliony aplikacji Java na zasadach open-source.

Biblioteka Log4j zawiera mechanizm pozwalający na wyszukiwanie żądań przy użyciu specjalnej składni. Konstruując własny prefiks dla takiego żądania, atakujący mogą przesłać do swojego serwera określone informacje, co z kolei może prowadzić do zdalnego uruchomienia niebezpiecznego kodu lub wycieku informacji poufnych.

„Nowa luka jest niezwykle niebezpieczna nie tylko ze względu na to, że atakujący mogą przejąć całkowitą kontrolę nad systemem, ale także dlatego, że jej wykorzystanie jest bardzo proste. Z użyciem tej podatności ataku może dokonać nawet niezaawansowany cyberprzestępca, a z naszych badań wynika, że potencjalni atakujący już szukają odpowiedniego szkodliwego oprogramowania. Dobra wiadomość jest taka, że solidne rozwiązania bezpieczeństwa potrafią skutecznie chronić przed tego rodzaju szkodliwymi działaniami” – powiedział Jewgienij Łopatin, ekspert ds. cyberbezpieczeństwa w firmie Kaspersky.

Setki tysięcy prób wykorzystania potężnej luki Log4Shell

Badacze z firmy Kaspersky i Sophos wykryli wzmożone skanowanie sieci w poszukiwaniu urządzeń z omawianą podatnością. Zarejestrowano już niemal milion prób ataków wykorzystujących lukę Log4Shell, m.in. z pomocą kryptominerów, czyli złośliwych programów służących do kopania kryptowalut.

Według badaczy cyberprzestępcy będą w najbliższych tygodniach intensyfikowali działania i wykorzystywali lukę m.in. do ataków ransomware. Zagrożone mogą być setki tysięcy firm na całym świecie. Badacze Sophos zaobserwowali także próby kradzieży danych z niektórych usług – m.in. kluczy do kont Amazon Web Services.

„Dostępne informacje sugerują, że luka mogła być wykorzystywana nawet przez tygodnie przed jej publicznym ujawnieniem. Przestępcy stosują różne techniki maskowania swoich złośliwych działań, aby oszukać programy ochronne. Zaczęli od kopania kryptowalut, ale wkrótce prawdopodobnie zaczną intensyfikować i zmieniać swoje metody. Pojawią się kolejne rodzaje ataków takie jak ransomware, które polegają na szyfrowaniu danych i żądaniu okupu za ich odblokowanie” – powiedział Grzegorz Nocoń, inżynier systemowy w firmie Sophos.

CISA rekomenduje agencjom federalnym szybkie załatanie luk

Amerykańska Agencja ds. Bezpieczeństwa Cyberbezpieczeństwa i Infrastruktury (CISA) rekomenduje, żeby agencje federalne jeszcze przed świętami Bożego Narodzenia przetestowały swoje systemy. Mają sprawdzić, które z nich wykorzystują bibliotekę Log4j Java i czy są one podatne na exploit Log4Shell. Do Świąt powinny także załatać wszelkie luki.

log4shell-apache-log4j-luka-hakerzy-cisa
Zalecenia CISA

CISA uruchomiła także stronę internetową, na której znajdują się wskazówki dla amerykańskiego sektora publicznego i prywatnego dotyczące luki w zabezpieczeniach Log4Shell. Znajdą się tam wszelkie informacje dotyczące oprogramowania podatnego na ataki cyberprzestępców.

Badacz bezpieczeństwa Royce Williams przygotował listę, na której umieścił projektów zagrożonych podatnością oraz bezpiecznych. Innym źródłem wiedzy może być lista holenderskiego Narodowego Centrum Cyberbezpieczeństwa.

Jak chronić się przez wykorzystaniem luki Log4Shell?

Powszechne wykorzystanie biblioteki Log4j w usługach i aplikacjach sprawia, że luka Log4Shell jest wyjątkowo trudna do wykrycia i załatania. Wiele podatności ogranicza się do konkretnych produktów lub platformy – np. luka ProxyLogon i ProxyShell w Microsoft Exchange. Jednak Log4Shell dotyczy oprogramowania, które jest wykorzystywane przez wiele rozwiązań i produktów. Może więc być obecna w wielu miejscach firmowych sieci i systemów, nawet w oprogramowaniu tworzonym na użytek wewnętrzny.

„Podstawowym sposobem ochrony firmowych systemów jest zainstalowanie najnowszej aktualizacji udostępnionej przez Apache: Log4j 2.15.0. Może to jednak nie być takie łatwe, szczególnie jeśli przedsiębiorstwo nie wie, gdzie wykorzystywana jest biblioteka. Dlatego równie ważne jest znalezienie wszystkich systemów, które mogą być podatne na atak z wykorzystaniem luki Log4Shell. Osoby odpowiedzialne za bezpieczeństwo powinny dokładnie śledzić zdarzenia w swojej sieci, aby móc wykryć i usunąć wszelkie podejrzane incydenty. Firmy powinny też pamiętać o konieczności stosowania rozwiązań, które chronią przed wykorzystaniem luk w zabezpieczeniach przez przestępców” – radzi Grzegorz Nocoń.

Eksperci z firmy Kaspersky zalecają następujące działania umożliwiające zabezpieczenie się przed luką w bibliotece Log4j:

  • Zainstaluj najnowszą wersję biblioteki – 2.15.0. Można ją pobrać z oficjalnej strony projektu. Jeżeli korzystasz z aplikacji, w której użyto tej biblioteki, monitoruj sytuację i zainstaluj jej uaktualnienie, jak tylko się pojawi.
  • Postępuj zgodnie z zaleceniami projektu Apache Log4j.
  • Firmy powinny stosować rozwiązanie bezpieczeństwa, które oferuje ochronę przed wykorzystaniem luk w zabezpieczeniach oraz zarządzanie instalacją łat, takie jak Kaspersky Endpoint Security for Business.
  • Aby identyfikować i powstrzymywać ataki na ich wczesnych etapach, firmy mogą korzystać z rozwiązań klasy EDR, takich jak Kaspersky Endpoint Detection and Response.

Źródło: Kaspersky, Sophos, CISA

0 0 votes
Article Rating
Powiadomienia
Powiadom o
0 komentarzy
Inline Feedbacks
View all comments
0
Would love your thoughts, please comment.x