Sikkerhedsteams hos store og små virksomheder kæmper for at lappe en hidtil ukendt sårbarhed kaldet Log4Shell, som har potentialet til at lade hackere kompromittere millioner af enheder på tværs af internettet.
Hvis den udnyttes, tillader sårbarheden fjernudførelse af kode på sårbare servere, hvilket giver en hacker mulighed for at importere malware, der fuldstændigt ville kompromittere maskiner.
Sårbarheden findes i log4j, en open source-logningsbibliotek, der bruges af apps og tjenester på tværs af internettet. Logning er en proces, hvor applikationer fører en kørende liste over aktiviteter, de har udført, som senere kan gennemgås i tilfælde af fejl. Næsten alle netværkssikkerhedssystemer kører en form for logningsproces, som giver populære biblioteker som log4j en enorm rækkevidde.
“Når jeg ser tilbage på de sidste 10 år, er der kun to andre udnyttelser, jeg kan komme i tanke om med en lignende alvorlighed”
Marcus Hutchins, en fremtrædende sikkerhedsforsker, der er bedst kendt for at standse det globale WannaCry-malwareangreb , bemærkede online, at millioner af ansøgninger ville blive påvirket. “Millioner af applikationer bruger Log4j til logning, og alt hvad angriberen skal gøre er at få appen til at logge en speciel streng,” sagde Hutchins i et tweet.
Udnyttelsen blev først set på websteder, der hostede Minecraft-servere, som opdagede, at angribere kunne udløse sårbarheden ved at sende chatbeskeder. Et tweet fra sikkerhedsanalysefirmaet GreyNoise rapporterede, at virksomheden allerede har opdaget adskillige servere, der søger på internettet efter maskiner, der er sårbare over for udnyttelsen.
Et blogindlæg fra applikationssikkerhedsfirmaet LunaSec hævdede, at spilleplatformen Steam og Apples iCloud havde allerede vist sig at være sårbare. Hverken Valve eller Apple reagerede umiddelbart på en anmodning om kommentar.
For at udnytte sårbarheden skal en angriber få applikationen til at gemme en speciel streng af tegn i loggen. Da applikationer rutinemæssigt logger en lang række hændelser – såsom beskeder sendt og modtaget af brugere, eller detaljerne om systemfejl – er sårbarheden usædvanlig nem at udnytte og kan udløses på en række forskellige måder.
“Dette er en meget alvorlig sårbarhed på grund af den udbredte brug af Java og denne pakke log4j,” sagde Cloudflare CTO John Graham-Cumming til The Verge. “Der er en enorm mængde Java-software forbundet til internettet og i back-end-systemer. Når jeg ser tilbage på de sidste 10 år, er der kun to andre udnyttelser, jeg kan komme i tanke om med en lignende alvorlighed: Heartbleed, som gjorde det muligt for dig at få information fra servere, der skulle have været sikre, og Shellshock, som gjorde det muligt for dig at køre kode. på en ekstern maskine.”
Mångfalden af applikationer, der er sårbare over for udnyttelsen, og rækken af mulige leveringsmekanismer betyder imidlertid, at firewallbeskyttelse alene ikke eliminerer risiko. Teoretisk set kunne udnyttelsen endda udføres fysisk ved at skjule angrebsstrengen i en QR-kode, der blev scannet af et pakkeleveringsfirma, og nåede ind i systemet uden at være blevet sendt direkte over internettet.
En opdatering til log4j-biblioteket er allerede blevet frigivet for at afbøde sårbarheden, men givet den tid, det tager at sikre, at alle sårbare maskiner er opdateret, forbliver Log4Shell en presserende trussel.