Antivirové a bezpečnostní společnosti po celém světě zaznamenávali od konce minulého týdne nebývalý nárůst speciálně zaměřených útoků, které se zaměřují na zranitelnost v tzv. logovacím frameworku Apache Log4j, který se na mnoha internetových serverech stará o chybové záznamy z běhu programů. Chyba označovaná jako CVE-2021–44228 spočívá v tom, že umožní útočníkovi vzdáleně spustit kód a tím kompromitovat systém. První pokusy o její zneužití se objevily na začátku prosince.
„Zranitelnost ‚Log4Shell’ se závažností CVSSv3 9.8 potenciálně postihuje veškeré aplikace, které ji k logování používají a umožňují příjem požadavků skrze libovolný protokol. Zalogováním speciálně vytvořeného požadavku, který útočník na server zašle, dojde kvůli chybě v interpretaci k jeho spuštění, čímž může získat plnou kontrolu nad serverem,“ popisuje chybu Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB). Podle bezpečnostní firmy Avast stačí, aby útočník odeslal speciální text do chatovacího okna zranitelné aplikace.
I když je již na světě oprava, která chybu záplatuje, mohou být stále útočníci úspěšní. „Log4Shell je problematická především kvůli tomu, že je velmi obtížné zjistit, kde všude se zranitelná verze knihovny Log4j nachází. Poskytovatelé softwaru sice nemusí používat přímo knihovnu Log4j, ale ta může být součástí jiné použité knihovny. Znamená to, že Log4j musí vývojáři aktualizovat opravdu všude, což může být velice náročné,“ říká v tiskové zprávě Jakub Křoustek, ředitel výzkumu malwaru v Avastu.
Z toho vyplývá, že ne všude může být oprava včas nasazena, přičemž tento logovací systém využívají firmy jak na svých serverech, tak ho používají i provozovatelé cloudových úložišť. I proto nejen bezpečnostní firmy, ale i státní instituce, označují chybu za kritickou.
„Lze očekávat, že s ohledem na veřejně dostupný kód a nízkou složitost zneužití bude četnost útoků narůstat a zranitelnost může být využita jako vstupní bod například pro ransomware operátory,“ varuje NÚKIB.
Bohužel se běžný uživatel v tomto případě musí spolehnout na odpovědnost správců serverů, jejichž služby využívají, kteří by měli nainstalovat aktualizaci na verzi Log4j 2.15.0-rc2, respektive verzi Log4j 2.16.0. A protože je Log4j obsažená ve většina aplikací běžících na Javě, museli na chybu reagovat třeba provozovatelé cloudových úložišť jako je Apple iCloud, Google Drive, Microsoft OneDrive, Amazon Web Services a dalších, stejně jako herních serverů Minecraftu, Steamu, Epicu a vlastně i sociálních sítí. Velký seznam zveřejnilo nizozemské Národní centrum kybernetické bezpečnosti.
Avast připomíná, že v nebezpečí nejsou pouze zařízení přímo připojená k internetu. „Útočníci se dokážou dostat i do vnitřních sítí, které tyto speciální vstupy následně zpracovávají za použití zmíněné knihovny Log4j,“ doplňují odborníci z této firmy.
Návod, jak může správce zjistit, že jeho systém byl napaden tímto útokem, přináší NÚKIB: „Zneužití zranitelnosti lze ověřit vyhledáním řetězců ‚${jndi:ldap://`,`${jndi:rmi://‘, ‚${jndi:ldaps://‘ v lozích serveru. K vyhledání lze použít například příkaz a YARA pravidlo publikované na Githubu.“
Kdo nemůže z nějakého důvodu provést záplatování serveru, měl by podle NÚKIBU provést alespoň opatření v podobě spuštění aplikace s parametrem ‚log4j2.formatMsgNoLookups=True.‘
Rychlé šíření
Chyba byla o to závažnější, že byla poměrně jednoduše zneužitelná. „Nebezpečná je i v tom, jak snadno se dá použít – dokonce i nezkušeným hackerem,“ varovala ruská bezpečnostní firma Kaspersky.
Že to není jen teoretizování, dokazují statistiky další bezpečnostní firmy. Izraelský Check Point Software Technologies zjistil, že od pátku, kdy bylo zneužití chyby zveřejněno a byly zaznamenány útoky v řádech tisíců, byl jejich nárůst enormní.
Během soboty počet útoků vzrostl už na 40 000 a 72 hodin po odhalení zranitelnosti počet útoků překročil hranici 800 000. „Check Point také upozorňuje na extrémní nárůst nových variant původního exploitu – více než 60 za méně než 24 hodin. Je to znovu ukázka kybernetické pandemie, tedy rychle se šířících ničivých útoků,“ popisuje firma.
Na zranitelnost rychle zareagovali celosvětově známé hackerské skupiny, které mají podle Check Pointu na svědomí více než 46 % pokusů.
Problém se nevyhnul ani Česku. „Pokusy o zneužití zranitelnosti zaznamenalo více než 40 % podnikových sítí po celém světě. V České republice hlásí pokusy o zneužití zranitelnosti dokonce 51 % podnikových sítí,“ popisuje situaci Check Point.
Další problém
Aby to nebylo jednoduché, byla v Apache Log4j objevena další chyba, respektive v opravě, která napravovala první chybu. Nový „objev“ nese označení CVE 2021-45046
„Bylo zjištěno, že oprava CVE-2021-44228 ve verzi 2.15.0 aplikace Apache Log4j byla v určitých nestandardních konfiguracích neúplná,“ píše se v popisu chyby. Společnost Apache již vydala opravu Log4j 2.16.0, která problém řeší.