Sigurnosni timovi velikih i malih tvrtki diljem svijeta nastoje zakrpati dosad nepoznat, ali kritičan propust za log4j, nazvan Log4Shell koja ima potencijal dopustiti hakerima da ugroze milijune uređaja koji se koriste Javom.
Ako se zlorabi, taj propust omogućava daljinsko izvršavanje koda na ranjivim poslužiteljima, dajući napadaču mogućnost uvoza zlonamjernog softvera koji u potpunosti može kompromitirati uređaje, piše The Verge.
"Internet trenutačno gori", izjavio Adam Meyers iz Crowdstrikea, tvrtke za cyber sigurnost.
Milijuni aplikacija mogli bi biti pogođeni
Propust je otkriven u log4j library zapisniku otvorenog koda koju koriste aplikacije i usluge na internetu. Zapisivanje je proces u kojem aplikacije vode popis aktivnosti koje su izvršile, a koji se kasnije može pregledati u slučaju pogreške. Gotovo svaki mrežni sigurnosni sustav pokreće neku vrstu procesa zapisivanja, što popularnim softverima kakav je log4j daje ogroman doseg.
Marcus Hutchins, stručnjak za IT sigurnost, najpoznatiji po zaustavljanju globalnog napada zlonamjernog softvera WannaCry, smatra da bi milijuni aplikacija na internetu mogli biti pogođeni.
''Milijuni aplikacija koriste Log4j za prijavu, a sve što napadač treba učiniti je natjerati aplikaciju da zabilježi poseban niz", napisao je Hutchins na Twitteru.
Posebno ranjivi Steam i Appleov iCloud
Najveća prijetnja ovog propusta je što hakeri mogu lako pristupiti web serverima bez potrebe za upisivanjem lozinki. Propust je prvi put uočen na stranicama koje opslužuju Minecraft poslužitelje, a koje su otkrile da napadači mogu pokrenuti ranjivost objavljivanjem poruka u chatu.
Tvrtka LunaSec za sigurnost aplikacija u svom je blogu navela da su posebno ranjivi platforma za igre Steam i Appleov iCloud.
Kako bi iskoristio ranjivost, napadač mora navesti aplikaciju da spremi poseban niz znakova u dnevnik. Budući da aplikacije rutinski bilježe širok raspon aktivnosti – od poruka koje korisnici šalju i primaju do pojedinosti o greškama sustava – ranjivost je neobično jednostavna za iskorištavanje i može se pokrenuti na razne načine.
Trebat će vremena za ažuriranje ranjivih uređaja
"Ovo je vrlo ozbiljna ranjivost zbog raširene upotrebe Jave i ovog paketa log4j", rekao je za The Verge softverski inženjer John Graham-Cumming glavni tehnološki direktor u Cloudflareu .
''Postoji ogromna količina Java softvera na internetu i u pozadinskim sustavima. Kad se osvrnem unatrag deset godina, mogu se sjetiti samo dva ovako ozbiljna problema: Heartbleeda i Shellshocka”, rekao je Graham-Cumming.
Raznolikost aplikacija ranjivih na ovaj propust i niz mogućih mehanizama isporuke znače da zaštita vatrozidom sama po sebi ne eliminira rizik. Teoretski, napad bi se čak mogao izvesti i fizički, skrivanjem niza napada u QR kodu koji je skenirala tvrtka za dostavu paketa, probijajući se u sustav bez izravnog slanja putem interneta. Nadogradnja za Log4j već je izdana kako bi se ublažila ranjivosti, ali s obzirom na vrijeme koje je potrebno da bi se osiguralo ažuriranje svih ranjivih uređaja, Log4Shell i dalje ostaje velikom prijetnjom.